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软件 产业 是 信息 产业 的 核心 之 一 , 是 经 济 社 会 发 展 的 基础 性 、 先 导 性 和 战略 性 产业 ， 
在 推进 信息 化 与 工业 化 融合 、 促 进发 展 方式 转变 和 产业 结构 升级 、 维 护 国 家 安全 等 方面 
有 着 重要 作用 。 党 中 央 、 国 务 院 高 度 重 视 软件 产业 发 展 ， 先 后 出 台 了 18 号 文件 、47 号 
文件 等 一 系列 政策 措施 ， 营 造 了 良好 的 发 展 环境 。 近 年 来 ， 我 国 软件 产业 进入 快速 发 展 
期 。2007 年 销售 收入 达到 5834 亿 元 ， 出 口 102.4 亿美 元 ， 软 件 从 业 人 数 达 148 万 人 。 全 
国共 认定 软件 企业 超过 1.8 万 家 ， 登 记 备 案 软件 产品 超过 $ 万 个 。 软 件 技术 创新 取得 突 
破 ， 国 产 操作 系统 、 数 据 库 、 中 间 件 等 基础 软件 相继 推出 并 得 到 了 较 好 的 应 用 。 软 件 与 
信息 服务 外 包 莲 勃发 展 ， 软 件 正版 化 工作 顺利 推进 。 

随 着 软件 产业 的 快速 发 展 ， 软 件 人 才 需 求 日 益 迫 切 。 为 适应 产业 发 展 需求 、 规 范 软 
件 专业 人 员 技 术 资 格 ，20 余年 前 全 国 计 算 机 软件 考试 创办 ， 率 先 执行 了 以 考 代 评 政策 。 
近年 来 ， 考 试 作 了 很 多 积极 的 探索 ， 进 行 了 一 系列 改革 ， 考 试 名 称 、 考 试 内 容 、 专 业 类 
别 、 职 业 岗 位 也 作 了 相应 的 变化 。 目 前 ， 考 试 名 称 已 调整 为 计算 机 技术 与 软件 专业 技术 
资格 〈 水 平 ) 考试 ， 涉 及 5 个 专业 类 别 、3 个 级 别 层次 共 27 个 职业 岗位 ， 采 取水 平 考试 
的 形式 ， 执 行 资格 考试 政策 ， 并 扩展 到 高 级 资格 ， 取 得 了 良好 效果 。20 余年 来 ， 累 计 报 
考 人 数 近 200 万 ， 影 响 力 不 断 扩大 。 程 序 员 、 软 件 设计 师 、 系 统 分 析 师 、 网 络 工程 师 、 
数据 库 系 统 工程 师 的 考试 标准 已 与 日 本 相应 考试 级 别 实现 互 认 ， 程 序 员 和 软件 设计 师 的 
考试 标准 与 韩国 实现 互 认 。 通 过 考试 ， 一 大 批 软件 人 才 脱 颖 而 出 ， 为 加 快 培育 软件 人 才 
队伍 、 推 动 软件 产业 健康 发 展 起 到 了 重要 作用 。 

最 近 ， 工 业 和 信息 化 部 电子 教育 与 考试 中 心 组 织 了 一 批 具有 较 高 理论 水 平和 丰富 实 
践 经 验 的 专家 编写 了 这 套 全 国 计 算 机 技术 与 软件 专业 技术 资格 〈 水 平 ) 考试 教材 和 辅导 
用 书 。 按 照 考试 大 纲 的 要 求 ， 教 材 和 辅导 用 书 全 面 介 绍 相关 知识 与 技术 ， 帮 助 考生 学 习 
备考 ， 将 为 软件 考试 的 规范 和 完善 起 到 积极 作用 。 

我 相信 ， 通 过 社会 各 界 共同 努力 ， 全 国 计 算 机 技术 与 软件 专业 技术 资格 (水平) 考 
试 将 更 加 规范 、 科 学 ， 培 养 出 更 多 专业 技术 人 才 ， 为 加 快 发 展 信 息 产 业 、 推 动 信息 化 与 
工业 化 融合 做 出 积极 贡献 。 
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计算 机 网 络 是 信息 人 传输、 收集、 存储、 处理、 分配、 消费 的 最 重要 的 载体 ， 是 网 络 
经 济 的 核心 ， 深刻 地 影响 着 经 济 、 社 会 、 文 化 、 科 技 ， 是 工作 和 生活 的 最 重要 工具 之 一 。 

网 络 规划 设计 师 的 职责 就 是 规划 、 设 计 、 并 指导 实施 网 络 工程 ， 为 人 们 提供 高 速 、 
可 靠 、 经 济 、 安 全 、 方 便 的 网 络 ， 满 足 人 们 的 需要 。 因 此 ， 网 络 规划 设计 师 应 熟悉 应 用 
领域 的 业务 ， 能 够 进行 计算 机 网 络 领域 的 需求 分 析 、 规 划 设 计 、 部 署 实施 、 评 测 运 维 等 
工作 。 具 体 来 说 ， 就 是 在 需求 分 析 阶 段 ， 能 分 析 用 户 的 需求 和 约束 条 件 ， 写 出 网 络 系统 
需求 规格 说 明 书 ， 在 规划 设计 阶段 ， 能 根据 系统 需求 规格 说 明 书 ， 完 成 逻辑 结构 设计 、 
物理 结构 设计 , 选用 适宜 的 网 络 设备 , 按照 标准 规范 编写 系统 设计 文档 及 项 目 开发 计划 ; 
在 部 署 实施 阶段 ， 能 按照 系统 设计 文档 和 项 目 开发 计划 组 织 项 目 施 工 ， 对 项 目 实施 过 程 
进行 质量 控制 、 进 度 控制 、 经 费 控 制 ， 能 具体 指导 项 目 实施 ， 在 评测 运 维 阶段 ， 能 根据 
相关 标准 和 规范 对 网 络 进行 评估 测试 ， 能 制定 运行 维护 、 故 障 分 析 与 处 理 机 制 ， 确 保 网 
络 提供 正常 服务 ;能 指导 制定 用 户 的 数据 和 网 络 战略 规划 ， 能 指导 网 络 工程 师 进行 系统 
建设 实施 。 

本 书 以 系统 观点 ， 按 网 络 要 素 组 织 网 络 知识 体系 ， 将 网 络 规划 设计 师 应 具备 的 网 络 
知识 划分 为 五 大 部 分 ， 分 别 加 以 介绍 。 另 外 ， 增 加 两 章 介绍 与 考试 相关 的 内 容 。 

第 1 章 介绍 网 络 的 基本 原理 ， 第 2 章 介 绍 网 络 规划 设计 的 知识 和 方法 ， 第 3 章 介 绍 
网 络 设备 和 网 络 软件 ， 第 4 章 介绍 网 络 安全 技术 ， 第 5 章 介绍 标准 化 与 知识 产权 。 第 6 
章 和 第 7 章 是 帮助 读者 参加 考试 的 内 容 ， 第 6 章 介 绍 几 个 网 络 规划 设计 案例 ， 第 7 章 介 
绍 论 文 写作 的 注意 事项 。 

本 书 由 黄 传 河 规划 、 统 编 、 审 定 ， 吴 产 乐 担任 顾问 和 指导 。 参 加 编写 的 有 【〈 按 姓 名 
拼音 顺序 ): 陈 晶 〈4.2、4.7)、 杜 瑞 颖 (1.4、1.7、1.8)、 黄 传 河 (1.1、1.5)、 吕 慧 〈1.2)、 
彭 国 军 (4.1)、 石 岗 (第 3 章 )、 涂 航 〈4.8 一 4.11)、 吴 黎 兵 (4.3、4.5、4.6、 第 6 章 )、 
余 纯 武 (4.12 一 4.15)、 张 春 林 (1.3、1.6、 第 7 章 )、 张 沪 寅 (1.9、1.10)、 张 健 (2.1 一 
2.6)、 张 萌 〈2.7、2.8)、 张 文 涛 (4.4、 第 5 章 )。 

由 于 时 间 仓促 ， 书 中 难免 有 不 妥 、 错 误 之 处 ， 敬 请 指正 。 
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计算 机 网 络 是 计算 机 技术 与 通信 技术 相 结合 的 产物 。 计 算 机 网 络 是 信息 收集 、 分 配 、 
存储 、 处 理 、 消 费 的 最 重要 的 载体 ， 是 网 络 经 济 的 核心 ， 深 刻 地 影响 着 经 济 、 社 会 、 文 
化 、 科 技 ， 是 工作 和 生活 的 最 重要 工具 之 一 。 掌 握 网 络 的 基本 原理 是 进行 网 络 规划 与 设 
计 的 基础 。 本 章 从 网 络 概述 、 数 据 通信 基础 知识 、 网 络 体系 结构 、 网 络 设备 与 网 络 软件 、 
局 域 网 、 广 域 网 与 接 入 网 、 网 络 互 联 、Internet 协议 、 网 络 管理 、 网 络 服务 质量 等 方面 介 
绍 计算 机 网 络 的 原理 。 


1.1 计算 机 网 络 概论 


1.1.1 计算 机 网 络 概 念 


1. 计算 机 网 络 的 定义 

计算 机 网 络 是 一 个 将 分 散 的 、 具 有 独立 功能 的 计算 机 系统 ， 通 过 通信 设备 与 线路 连 
接 起 来 ， 由 功能 完善 的 软件 实现 资源 共享 的 系统 。 

对 于 这 一 说 法 ， 其 中 仍 有 一 些 不 确定 的 地 方 ， 如 完善 的 标准 是 什么 ? 资源 共享 的 内 
容 、 方 式 、 程 度 是 什么 ? 资源 共享 是 最 终 目 标 吗 ? 鉴于 这 些 不 确定 性 ， 对 计算 机 网 络 的 
理解 主要 有 三 种 观点 : 

(1) 广义 观点 。 持 此 观点 的 人 认为 ， 只 要 是 能 实现 远程 信息 处 理 的 系统 或 进一步 能 
达到 资源 共享 的 系统 都 可 以 成 为 计算 机 网 络 。 

(2) 资源 共享 观点 。 持 此 观点 的 人 认为 ， 计 算 机 网 络 必 须 是 由 具有 独立 功能 的 计算 
机 组 成 的 、 能 够 实现 资源 共享 的 系统 。 

(3) 用 户 透明 观点 。 持 此 观点 的 人 认为 ， 计 算 机 网 络 就 是 一 台 超 级 计算 机 ， 资 源 丰 
富 、 功 能 强大 ， 其 使 用 方式 对 用 户 透 明 ， 用 户 使 用 网 络 就 像 使 用 单一 计算 机 一 样 ， 无 需 
了 解 网 络 的 存在 、 资 源 的 位 置 等 信息 。 这 是 最 高 标准 ， 目 前 还 未 实现 ， 是 网 络 未 来 发 展 
追求 的 目标 。 

计算 机 网 络 的 应 用 越 来 越 广 泛 ， 深 刻 地 影响 着 社会 发 展 的 进程 。 今 天 要 列 数 哪里 不 
需要 计算 机 网 络 已 经 变 得 非常 困难 .在 此 我 们 只 简单 地 说 明 计算 机 网 络 的 几 个 应 用 方向 。 

。 对 分 散 的 信息 进行 集中 、 实 时 处 理 。 比 如 航空 订 票 系统 、 工 业 控制 系统 、 军 事 系 

统 等 众多 的 系统 ， 离 开 了 计算 机 网 络 ， 将 无 法 进行 。 
。 共享 资源 。 实 现 对 各 类 资源 的 共享 ， 包 括 信息 资源 、 硬 件 资源 、 软 件 资源 。 网 格 
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换 ， 


是 计算 机 网 络 的 高 级 形态 ， 将 使 资源 共享 变 得 更 加 方便 、 透 明 。 
。 电子 化 办 公 与 服务 。 借 助 计算 机 网 络 ， 得 以 实现 电子 政务 、 电 子 商 务 、 电 子 银 行 、 
电子 海关 等 一 系列 借助 计算 机 网 络 实现 的 现代 化 办 公 、 商 务 应 用 。 当 今 社 会 ， 就 
连 到 商场 购物 、 和 餐馆 吃饭 这 样 的 日 常事 务 都 离 不 开 计算 机 网 络 。 利 用 计算 机 网 络 
进行 网 上 购物 ， 更 加 方便 、 廉 价 。 
通信 。 电 子 邮 件 、 即 时 通信 系统 等 众多 的 通信 功能 ， 极 大 地 方便 了 人 与 人 之 间 的 
信息 交往 ， 既 快速 又 廉价 。 
。 远程 教育 。 利 用 网 络 可 以 提供 远程 教育 平台 ， 借 助 丰富 的 知识 管理 系统 ， 学 生 可 
以 更 加 方便 地 自学 ， 提 高 学 习 效 率 。 
娱乐 。 娱 乐 是 人 的 天 性 ， 对 于 大 多 数 人 来 说 ， 工 作 之 余 都 需要 娱乐 活动 来 丰富 自 
己 的 生活 。 利 用 网 络 提供 各 种 各 样 的 娱乐 内 容 ， 既 满足 了 社会 的 需要 ， 同 时 也 具 
有 巨大 的 经 济 效益 。 
2. 计算 机 网 络 与 通信 、 网 络 的 关系 
通信 (communication) 就 是 信息 的 传递 ， 是 指 由 一 地 向 另 一 地 进行 信息 的 传输 与 交 
其 目的 是 传输 消息 。 实 现 通信 功能 的 系统 称 为 通信 系统 。 
随 着 社会 的 发 展 ， 人 们 对 传递 消息 的 要 求 也 越 来 越 高 。 在 各 种 各 样 的 通信 方式 中 ， 


利用 “ 电 ” 来 传递 消息 的 通信 方法 称 为 电信 〈telecommunication)， 这 种 通信 具有 迅速 、 
准确 、 可 靠 等 特点 ， 且 几乎 不 受 时 间 、 地 点 、 空 间 、 距 离 的 限制 ， 因 而 得 到 了 飞速 发 展 
和 广泛 应 用 。 


以 语音 通信 为 主要 目的 建立 的 通信 系统 统称 为 电话 网 络 或 电信 网 络 ,包括 固 话 网 络 、 


移动 网 络 等 。 


以 发 送 电 视 信号 为 目的 建立 的 通信 系统 称 为 电视 网 络 。 
以 数据 通信 为 目的 建立 的 网 络 称 为 数据 通信 网 络 。 
计算 机 网 络 是 计算 机 技术 、 通 信 技 术 相 结合 的 产物 ， 可 实现 数据 的 传输 、 收 集 、 分 


、 处 理 、 存 储 、 消 费 。 数 据 通信 网 络 是 计算 机 网 络 的 基础 或 初级 形式 。 


现在 所 说 的 网 络 ， 广 义 地 泛 指 上 述 网 络 之 一 或 全 部 ， 狭 义 地 特 指 计算 机 网 络 。 
随 着 技术 的 进步 和 应 用 的 相互 渗透 ， 电 信 网 络 、 电 视 网 络 、 计 算 机 网 络 将 逐步 实现 


三 网 融合 ， 走 向 统一 。 
1.1.2 计算 机 网 络 组 成 


1.1.2.1 计算 机 网 络 物理 组 成 


从 物理 构成 上 看 ， 计 算 机 网 络 包括 硬件 、 软 件 、 协 议 三 大 部 分 。 
1. 硬件 
@ 两 台 以 上 的 计算 机 及 终端 设备 ,统称 为 主机 (host)， 其 中 部 分 host 充当 服务 器 ， 
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部 分 host 充当 客户 机 。 

@ 前 端 处 理 机 (FEP) 或 通信 处 理 机 或 通信 控制 处 理 机 (CCP)， 负 责 发 送 、 接 收 
数据 ， 最 简单 的 CCP 是 网 卡 。 

@ 路 由 器 、 交 换 机 等 连接 设备 ， 交 换 机 将 计算 机 连接 成 网 络 ， 路 由 器 将 网 络 互联 组 
成 更 大 的 网 络 。 

@ 通信 线路 ， 有 具体 完成 将 信号 从 一 个 地 方 传送 到 另 一 个 地 方 ， 包 括 有 线 线路 和 无 
线 线路 。 

2. 软件 

主要 有 实现 资源 共享 的 软件 、 方 便 用 户 使 用 的 各 种 工具 软件 。 

3. 协议 

协议 由 语法 、 语 义 和 时 序 三 部 分 构成 。 其 中 语法 部 分 规定 传输 数据 的 格式 ， 语 义 部 
分 规定 所 要 完成 的 功能 ， 时 序 部 分 规定 执行 各 种 操作 的 条 件 、 顺 序 关 系 等 。 协 议 是 计算 
机 网 络 的 核心 。 一 个 完整 的 协议 应 完成 线路 管理 、 寻 址 、 差 错 控制 、 流 量 控 制 、 路 由 选 
择 、 同 步 控制 、 数 据 分 段 与 装配 、 排 序 、 数 据 转 换 、 安 全 管理 、 计 费 管 理 等 功能 。 


1.1.2.2 计算 机 网 络 功能 组 成 


从 功能 上 ， 计 算 机 网 络 由 资源 子 网 和 通信 子 网 两 部 分 组 成 。 其 中 资源 子 网 完成 数据 
的 处 理 、 存 储 等 功能 ， 通 信子 网 完成 数据 的 传输 功能 。 资 源 子 网 相当 于 计算 机 系统 ， 通 
信子 网 是 为 了 连 网 而 附加 上 去 的 通信 设备 、 通 信 线 路 等 ， 如 图 1-1 所 示 。 
用 户 资源 子 网 
信子 网 
HI 


1-1 资源 子 网 与 通信 子 网 


从 工作 方式 上 看 ， 也 可 以 认为 计算 机 网 络 由 边缘 部 分 和 核心 部 分 组 成 。 其 中 边缘 部 
分 是 用 户 直 接 使 用 的 主机 ， 核 心 部 分 由 大 量 的 网 络 及 路 由 器 组 成 ， 为 边缘 部 分 提供 连通 
性 和 交换 服务 ， 如 图 1-2 所 示 。 
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网 络 的 边缘 部 分 


®S 全 
> 网 络 的 核心 部 分 全 


~ 二 
3 C3 pe 


1-2 网络 的 边缘 部 分 与 核心 部 分 


1.1.2.3 ”计算 机 网 络 要 素 组 成 


从 组 成 要 素 上 看 ， 计 算 机 网 络 包括 计算 机 、 路 由 器 、 交 换 机 、 网 卡 、 通 信 线 路 、 调 
制 解 调 器 等 基本 要 素 组 成 。 其 中 计算 机 包括 客户 机 和 服务 器 ， 网 卡 附 在 计算 机 里 面 〈 也 
有 外 接 的 如 USB 接口 网 卡 )， 负 责 与 通信 线路 相连 ， 完 成 收发 工作 ， 交 换 机 用 于 把 小 范 
围 内 的 计算 机 连接 成 网 络 ， 路 由 器 用 于 互联 多 个 网 络 组 成 更 大 的 网 络 。 调 制 解 调 器 并 不 
是 在 任何 网 络 中 都 需要 ， 其 作用 是 将 孤立 的 计算 机 连接 到 网 络 上 。 调 制 解 调 器 有 音频 调 
制 解 调 器 、ADSL 调制 解 调 器 、 卫 星 调制 解 调 器 等 多 种 。 


1.1.3 ”计算 机 网 络 分 类 


1. 按 分 布 范围 分 类 

按 分 布 范围 可 将 计算 机 网 络 分 为 广域网 、 城 域 网 、 局 域 网 和 个 域 网 。 

。 广域网 (WAN) 一 般 分 布 在 数 十 公里 以 上 区 域 。 

。 城 域 网 (MAN) 一 般 分 布 在 一 个 城区 ， 一般 使 用 广域网 的 技术 ,可 以 看 成 是 一 个 
较 小 的 广域网 。 

。 局 域 网 (LAN) 一 般 分 布 在 几 十 米 到 几 千 米 范围 ， 传 统 上 ， 局 域 网 与 广域网 使 用 
不 同 的 技术 ， 广 域 网 使 用 交换 技术 ， 局 域 网 使 用 广播 技术 ， 而 这 才 是 二 者 的 根本 
区 别 。 但 从 万 兆 以 太 网 开始 ， 这 种 区 别 已 经 消除 了 。 
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。 个 域 网 PAN) 一 般 指 家 庭 内 甚至 是 个 人 随身 携带 的 网 络 ， 一 般 分 布 在 几米 范围 
内 ， 用 于 将 家 用 电器 、 消 费 电 子 设备 、 少 量 计算 机 设备 连接 成 一 个 小 型 的 网 络 ， 
以 采用 无 线 通信 方式 为 主 。 

2. 按 拓扑 结构 分 类 

按 拓扑 结构 可 将 计算 机 网 络 分 为 总 线 型 网 络 、 星 型 网 络 、 环 型 网 络 、 树 型 网 络 、 网 

格 型 网 络 等 基本 形式 。 

。 总 线 型 网 络 : 用 单 总 线 把 各 计算 机 连接 起 来 ， 如 图 1-3 所 示 。 总 线 型 网 络 的 优点 
是 建 网 容易 ， 增 减 节点 方便 ， 节 省 线路 。 缺 点 是 重负 载 时 通信 效率 不 高 。 

。 星 型 网 络 : 每 个 终端 或 计算 机 都 以 单独 (专用 ) 的 线路 与 一 中 央 设 备 相 连 ， 如 
图 1-4 所 示 。 中 央 设 备 早 期 是 计算 机 ， 现 在 一 般 是 交换 机 或 路 由 器 。 星 型 网 络 的 
优点 是 结构 简单 ， 建 网 容易 ， 延 迟 小 ， 便 于 管理 。 缺 点 是 成 本 高 ， 中 心 节点 对 故 
障 敏感 。 


图 1-3 总 线 型 网 络 图 1-4 星 型 网 络 


。 环 型 网 络 : 所 有 计算 机 环 接口 设备 连接 成 一 个 环 ， 可 以 是 单 环 ， 也 可 以 是 双环 。 
环 中 信号 是 单 向 传输 的 。 双 环 网 络 中 两 个 环 上 信号 的 传输 方向 相反 ， 有 具备 自 愈 
功能 。 

。 树 型 网 络 : 节点 组 织 成 数 状 结构 ， 具 有 层次 性 。 

。 网 格 型 网 络 : 一 般 情况 下 ， 每 个 节点 至 少 有 两 条 路 径 与 其 他 节点 相连 。 有 规则 型 
和 非 规 则 型 两 种 。 网 格 型 网 络 的 优点 是 可 靠 性 高 , 缺点 是 控制 复杂 , 线路 成 本 高 。 

可 以 将 这 些 基 本 型 网 络 互联 组 织 成 更 为 复杂 的 网 络 。 

3. 按 交 换 技术 分 类 

按 交换 技术 可 将 网 络 分 为 线路 交换 网 络 、 报 文 交换 网 络 、 分 组 交换 网 络 等 类 型 。 

。 线路 交换 网 络 : 在 源 节点 和 目的 节点 之 间 建 立 一 条 专用 的 通路 用 于 数据 传送 。 包 
括 建立 连接 、 传 输 数据 、 断 开 连 接 三 个 阶段 。 最 典型 的 线路 交换 网 络 就 是 电话 网 
络 。 该 类 网 络 的 优点 数据 直接 传送 延迟 小 。 缺 点 是 线路 利用 率 低 ， 不 能 充分 利用 
线路 容量 ， 不 便于 进行 差错 控制 。 

。 报 文 交换 网 络 : 将 用 户 数据 加 上 源 地 址 、 目 的 地 址 、 长 度 、 校 验 码 等 辅助 信息 封 
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装 成 报 文 ， 发 送 给 下 个 节点 。 下 个 节点 收 到 后 先 暂 存 报 文 ， 待 输出 线路 空闲 时 再 
转发 给 下 个 节点 ， 重 复 这 一 过 程 直到 到 达 目 的 节点 。 每 个 报 文 可 单独 选择 到 达 目 
的 节点 的 路 径 。 这 类 网 络 也 称 为 存储 -转发 网 络 。 其 优点 是 : @ 可 以 充分 利用 线 
路 容量 〈 可 以 利用 多 路 复 用 技术 ， 利 用 空闲 时 间 ); @ 可 以 实现 不 同 链 路 之 间 不 
同 数据 率 的 转换 ; @@ 可 以 实现 一 对 多 、 多 对 一 的 访问 ， 这 是 mtemet 的 基础 ; 四 
可 以 实现 差错 控制 ，@ 可 以 实现 格式 转换 。 缺 点 是 : @ 增加 资源 开销 ， 例 如 辅 
助 信息 导致 时 间 和 存储 资源 开销 ; @ 增加 缓冲 延迟 ; @ 多 个 报 文 的 顺序 可 能 发 
生 错 误 ， 需 要 额外 的 顺序 控制 机 制 ; @@ 缓冲 区 难于 管理 ， 因 为 报 文 的 大 小 不 确 
定 ， 接 收 方 在 接收 到 报 文 之 前 不 能 预知 报 文 的 大 小 。 
。 分 组 交换 网 络 : 也 称 包 交换 网 络 , 其 原理 是 将 数据 分 成 较 短 的 固定 长 度 的 数据 块 ， 
在 每 个 数据 块 中 加 上 目的 地 址 、 源 地 址 等 辅助 信息 组 成 分 组 ( 包 )， 按 存储 转发 
方式 传输 。 除 具备 报 文 交换 网 络 的 优点 外 ， 还 具有 自身 的 优点 : @ 缓冲 区 易于 
管理 ，@) 包 的 平均 延迟 更 小 ， 网 络 中 占用 的 平均 缓冲 区 更 少 ; @ 更 易 标 准 化 
@ 更 适合 应 用 。 现 在 的 主流 网 络 基本 上 都 可 以 看 成 是 分 组 交换 网 络 。 
4. 按 采用 协议 分 类 
每 层 的 协议 都 不 同 ， 因 此 按 协议 的 分 类 应 指明 协议 的 区 分 方式 。 比 如 按 网 络 层 的 关 
键 协议 来 分 类 ， 可 以 分 为 卫 网 、IPX 网 等 , 无 线 网 络 可 以 分 为 Wi-Fi 网 络 、 蓝 牙 网 络 等 。 
5. 按 使 用 传输 介质 分 类 
按 传 输 介质 可 以 分 为 有 线 网 络 和 无 线 网 络 两 大 类 。 有 线 网 络 又 可 以 分 为 双 绞 线 网 
络 、 同 轴 电 缆 网 络 、 光 纤 网 络 、 光 纤 同 轴 混 合 网 络 等 。 无 线 网 络 又 可 分 为 无 线 电 、 微 波 、 
红外 等 类 型 。 
6. 按 用 户 与 网 络 的 关联 程度 分 
按 用 户 与 网 络 的 关联 程度 可 以 将 计算 机 网 络 分 为 骨干 网 、 接 入 网 和 驻地 网 。 


1.1.4 网 络 体系 结构 


1.1.4.1 ”分 层 与 体系 结构 


网 络 体系 结构 是 指 构成 计算 机 网 络 的 各 组 成 部 分 及 计算 机 网 络 本 身 所 必须 实现 的 
功能 的 精确 定义 。 更 直接 地 说 ， 是 计算 机 网 络 中 的 层次 、 各 层 的 协议 以 及 层 间 的 接口 的 
集合 。 

网 络 非常 复杂 ， 为 便于 研究 和 实现 ， 需 要 按 体系 结构 的 方式 进行 建 模 。 而 体系 结构 
通常 都 具有 可 分 层 的 特性 ， 因 此 网 络 体系 结构 都 分 成 层次 结构 。 

分 层 的 基本 原则 如 下 : 

Q@ 各 层 之 间 界 面 清 晰 自然 ， 易 于 理解 ， 相 互 交流 尽 可 能 少 。 
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@ 各 层 功能 的 定义 独立 于 具体 实现 的 方法 。 

@ 保持 下 层 对 上 层 的 独立 性 ， 单 向 使 用 下 层 提供 的 服务 。 

依据 上 述 原则 ， 将 网 络 分 成 多 个 层次 ， 从 最 低层 到 最 高 层 依 此 称 为 第 1 层 、 第 2 
局， ， 第 nn 层 ， 通 常 还 为 每 层 起 一 个 特定 的 名 称 ， 如 第 1 层 的 名 称 为 物理 层 。 

每 层 有 完成 给 定 功 能 的 实体 组 成 ， 第 n 层 的 实体 可 记 为 n- 实 体 。 


1.1.4.2 接口、 协议 与 服务 


接口 是 指 同一 系统 内 部 两 个 相 邻 层次 之 间 的 交往 规则 。 

协议 是 指 通信 双方 实现 相同 功能 的 相应 层 之 间 的 交往 规则 。 协 议 由 语法 、 语 义 和 时 
序 三 部 分 构成 。 

协议 与 接口 的 关系 如 图 1-5 所 示 。 


系统 A 最 高 层 系统 B 


1m+] 协议 n+1 服 务 
n 实体 nn 协 议 n 实体 nn 服务 
n-1 协议 n-1 服务 


n+l1/n 接口 


n/n-1 接口 


最 低层 
物理 传输 介质 


图 1-5 接口 与 协议 


服务 是 指 为 紧 相 邻 的 上 层 提供 的 功能 调用 ， 每 层 只 能 调用 紧 相 邻 的 下 层 提供 的 服 
务 。 服 务 通过 服务 访问 点 〈SAP) 提供 ， 如 图 1-6 所 示 。 
计算 机 网 络 提供 的 服务 可 分 为 三 类 。 


(nt1) (n+1) 
服务 用 户 服务 用 户 


nt1 层 


及 层 


(SAP 


使 用 服务 ”提供 服务 
(SAP 


(四 服务 提供 者 


图 1-6 服务 及 服务 访问 点 
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1. 面向 连接 的 服务 与 无 连接 的 服务 

面向 连接 的 服务 是 指 在 通信 之 前 ， 双 方 需 先 建立 连接 ， 然 后 才能 开始 传送 数据 ， 传 
送 完成 后 需 释放 连接 。 建 立 连接 时 需要 分 配 相应 的 资源 如 缓冲 区 ， 以 保证 通信 能 正常 进 
行 。 比 如 打 电 话 就 是 面向 连接 的 服务 。 无 连接 的 服务 是 指 双方 通信 前 不 事先 建立 连接 ， 
需要 发 送 数据 时 ， 直 接 发 送 。 比如 平常 写 信 交 由 邮局 投递 的 过 程 就 是 无 连接 的 服务 。 

2. 有 应 答 服务 与 无 应 答 服务 

有 应 答 服务 是 指 接收 方 在 收 到 数据 后 向 发 送 方 给 出 相应 的 应 答 ， 该 应 答 由 传输 系统 
内 部 自动 实现 ， 而 不 是 用 户 实现 。 例 如 文件 传输 服务 。 

无 应 答 服务 是 指 接收 方 收 到 数据 后 不 自动 给 出 应 答 。 若 需 应 答 ， 由 高 层 实现 。 例 如 
WWW 服务 ， 客 户 端 收 到 服务 器 发 送 的 页 面 文件 后 不 给 出 应 答 。 

3. 可 靠 服务 与 不 可 靠 服务 

可 靠 服务 是 指 网 络 具 有 检 错 、 纠 错 、 应 答 机 制 ， 能 保证 数据 正确 、 可 靠 地 传送 到 目 
的 地 。 而 不 可 靠 服务 是 指 网 络 不 能 保证 数据 正确 、 可 靠 地 传送 到 目的 地 ， 网 络 只 是 尽量 
正确 、 可 靠 ， 是 一 种 尽力 而 为 的 服务 。 


1.1.4.3 ”数据 传送 单位 


服务 数据 单元 SDU: 为 完成 用 户 所 要 求 的 功能 而 应 传送 的 数据 。 第 N 层 的 服务 数据 
单元 记 为 N-SDU。 

协议 控制 信息 PCI: 控制 协议 操作 的 信息 。 第 N 层 的 协议 控制 信息 记 为 N-PCI。 

协议 数据 单元 PDU: 协议 交换 的 数据 单位 。 第 N 层 的 协议 数据 单元 记 为 N-PDU。 

三 者 之 间 的 关系 为 : N-SDU+N-PCI=N-PDU=(N-1)SDU。 其 变换 过 程 如 图 1-7 所 示 。 


主机 A 主机 B 
本 
L5 data 人 L5 data 
415 层 接 4/5 层 接 
5 层 接口 有 5 层 接口 
H4| L4 data 4 H4| L4 data 
3/4 层 接口 3/4 层 接口 
第 3 层 协议 | 
H3| D3 data cl 四 L3 data 
py 有 
2/3 层 接口 第 2 层 协议 2/3 层 接口 _ 
H2 12 data 2||2 H2 L2 data 12 
1/2 层 接口 第 1 层 协议 1/2 层 接口 
01100011100000100101 | | 1 01100011100000100101 


VYYY 
AAA 三 


O) 01100011100000100101 ) 


图 1-7 数据 单元 关系 
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1.1.4.4 ”OSILISO 与 TCP/IP 体系 结构 模型 


1. OSI 模型 

国际 标准 化 组 织 (Intermational Standardization Organization，ISO) 于 1978 年 提出 了 
一 个 网 络 体系 结构 模型 ， 称 为 开放 系统 互联 参考 模型 (OSI)。OSI 有 7 层 ， 从 低 到 高 
依次 称 为 物理 层 、 数 据 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 、 表 示 层 、 应 用 层 。 如 图 1-8 
所 示 。 


层 主机 A 2 主机 B ”数据 交换 单元 
7 | 应 用 |=--------- 应 用 属 协议 --------- 一 | 应 用 | Appu 


PPDU 


SPDU 


TPDU 


图 1-8 OSI 层次 结构 


OSI 参考 模型 中 各 层 的 功能 如 下 。 

物理 层 : 在 链 路 上 透明 地 传输 位 。 需 要 完成 的 工作 包括 线路 配置 、 确 定数 据 传输 模 
式 、 确 定 信号 形式 、 对 信号 进行 编码 、 连 接 传输 介质 。 为 此 定义 了 建立 、 维 护 和 拆除 物 
理 链 路 所 具备 的 机 械 特性 、 电 气 特性 、 功 能 特性 以 及 规程 特性 。 

数据 链 路 层 : 把 不 可 靠 的 信道 变 为 可 靠 的 信道 。 为 此 将 比特 组 成 帧 ， 在 链 路 上 提供 
点 到 点 的 帧 传输 ， 并 进行 差错 控制 、 流 量 控制 等 。 

网 络 层 : 在 源 节点 -目的 节点 之 间 进 行路 由 选择 、 拥 塞 控制 、 顺 序 控制 、 传 送 包 ， 保 
证 报 文 的 正确 性 。 网 络 层 控制 着 通信 子 网 的 运行 ， 因 而 它 又 称 为 通信 子 网 层 。 

传输 层 : 提供 端 - 端 间 可 靠 的 、 透 明 的 数据 传输 ， 保 证 报 文 顺序 的 正确 性 、 数 据 的 完 
整 性 。 

会 话 层 : 建立 通信 进程 的 逻辑 名 字 与 物理 名 字 之 间 的 联系 ， 提 供 进程 之 间 建 立 、 管 
理 和 终止 会 话 的 方法 ， 处 理 同步 与 恢复 问题 。 
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表示 层 : 实现 数据 转换 (包括 格式 转换 、 压 缩 、 加 密 等 )， 提 供 标准 的 应 用 接口 、 公 
用 的 通信 服务 、 公 共 数 据 表示 方法 。 

应 用 层 : 对 用 户 不 透明 的 各 种 服务 ， 如 E-mail。 

OSI 模型 比较 完整 ， 但 也 非常 复杂 。 除 了 低 三 层 有 实现 外 ， 其 余 层 次 没有 实现 ， 现 
在 已 基本 不 用 。 

2. TCP/IP 模型 

美国 国防 部 高 级 研究 计划 局 (DOD-ARPA) 1969 年 在 研究 ARPANET 时 提出 了 


TCP/IP 模型 ， 从 低 到 高 各 层 依次 为 网 络 接口 层 、 互 联网 层 、 传 输 层 、 应 用 层 ， 如 图 1-9 
所 示 。 


层 主机 A 机 B 
4 | 应 用 应 用 屋 协 议 应 用 
3 [传输 ” |- 传输 层 协议 [传输 


1 网 络 接口 [------------ 网 络 接口 


图 1-9 TCP/IP 层次 结构 


应 用 层 、 传 输 层 、 互 联网 层 都 定义 了 相应 的 协议 和 功能 ， 但 网 络 接 口 层 一 直 没 有 明 
确 地 定义 其 功能 、 协 议和 实现 方式 。 

应 用 层 的 主要 协议 有 DNS, HTTP, SMTP, POP3, FTP, TELNET, SNMP。 

传输 层 的 主要 协议 有 TCP，UDP。 

互联 网 层 的 主要 协议 有 了 全，ICMP,， ARP, RARP。 

TCP/IP 模型 与 OSI 模型 的 大 致 对 应 关系 如 表 1-1 所 示 。 

由 于 TCP/IP 有 大 量 的 协议 和 应 用 支持 ， 现 在 已 成 为 事实 上 的 标准 。 


表 1-1 OSI 模型 与 TCP/IP 模型 对 比 


OSI 模型 TCP/IP 模型 
应 用 层 互联 网 层 
表示 层 
会 话 层 网 络 接口 层 
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1.2 ”数据 通信 基础 


1.2.1 数据 通信 概念 


广义 地 讲 ， 把 由 一 地 向 另 一 地 或 多 地 进行 消息 的 有 效 传递 称 为 数据 通信 。 例 如 两 个 
人 在 一 起 聊天 ， 是 通过 声音 来 传递 消息 的 ， 莓 哑 人 之 间 的 手语 ， 是 通过 手势 来 传递 消息 
的 ， 只 不 过 通信 距离 较 短 ;， 而 打 电 话 、 发 电子 邮件 等 ， 则 分 别 是 通过 电话 系统 和 计算 机 
网 络 来 传递 消息 的 , 通信 距离 可 以 很 长 。 自从 19 世纪 末 人 们 开始 利用 电信 号 传递 消息 以 
来 ， 电 信 这 种 通信 方法 得 到 了 深入 研究 和 飞速 发 展 ， 形 成 了 一 整套 完备 的 理论 、 技 术 及 
相应 的 设备 ， 成 为 当今 社会 最 重要 的 通信 手段 。 所以， 从 狭义 的 角度 讲 ， 把 利用 电磁 波 、 
电子 技术 、 光 电子 等 手段 ， 借 助 电信 号 或 光 信号 实现 从 一 地 向 另 一 地 或 多 地 进行 消息 地 
有 效 传递 和 交换 的 过 程 称 为 数据 通信 。 

通信 的 实质 就 是 实现 信息 的 有 效 传递 ， 它 不 仅 要 将 有 用 的 信息 进行 无 失真 、 高 效率 
的 传输 ， 而 且 还 要 在 传输 的 过 程 中 减少 或 消除 无 用 信息 和 有 害 信息 。 


1.2.1.1 基本 概念 


1. 数据 和 信号 

数据 是 运送 信息 的 实体 ,而 信号 则 是 数据 的 电气 的 或 电磁 的 表现 。 无 论 数据 或 信号 ， 
都 既 可 以 是 模拟 的 也 可 以 是 数字 的 。 所 谓 “ 模 拟 的 ”就 是 连续 变化 的 ， 而 “数字 的 ”就 
表示 取 值 仅 允 许 为 有 限 的 几 个 离散 数值 。 

2. 信道 

信道 一 般 用 来 表示 向 某 一 个 方向 传送 信息 的 媒体 ， 因 此 ， 一 条 通信 电路 往往 包含 一 
条 发 送信 道 和 一 条 接收 信道 。 从 通信 的 双方 信息 交互 的 方式 看 ， 可 以 有 三 种 基本 方式 。 

1) 单 工 通信 

单 工 通信 只 有 一 个 方向 的 通信 而 没有 反方 向 的 交互 , 仅 需要 一 条 信道 , 无 线 电 广 播 、 
电视 广播 就 属于 这 种 类 型 。 

2) 半 双 工 通信 

半 双 工 通信 即 通信 的 双方 都 可 以 发 送信 息 ， 但 不 能 同时 发 送 。 

3) 全 双 工 通信 

全 双 工 通信 即 通信 的 双方 可 以 同时 发 送 和 接收 信息 ， 通 常 需要 两 条 信道 。 

3. 码 元 

数字 通信 中 对 数字 信号 的 计量 单位 采用 码 元 这 个 概念 。 一 个 码 元 指 的 是 一 个 固定 时 
长 的 数字 信号 波形 ， 该 时 长 称 为 码 元 宽度 。 
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4， 传 输 速率 

数字 通信 系统 的 传输 有 效 程度 可 以 用 码 元 传输 速率 和 信息 传输 速率 来 描述 。 

1) 码 元 传输 速率 

码 元 传输 速率 又 可 称 为 码 元 速率 、 信 号 速率 、 符 号 速率 、 波 形 速率 等 ， 它 表示 单位 
时 间 内 数字 通信 系统 所 传输 的 码 元 个 数 〔 符 号 个 数 或 脉冲 个 数 )， 单 位 是 波 特 Baud)。 
1 波 特 表示 数字 通信 系统 每 秒 传输 1 个 码 元 。 这 里 的 码 元 可 以 是 多 进 制 的 ， 也 可 以 是 二 
进 制 的 。 

2) 信息 传输 速率 

信息 传输 速率 又 可 称 为 信息 速率 、 比 特 率 等 ， 它 表示 单位 时 间 内 数字 通信 系统 传输 
的 二 进 制 码 元 个 数 ， 单 位 是 比特 / 秒 bps)。 

5. 抖动 

所 谓 拌 动 ， 是 指 在 噪声 因素 的 影响 下 ， 数 字 信号 的 有 效 瞬 间 相对 于 应 生成 理想 时 间 
位 置 的 短 时 偏离 ， 是 数字 通信 系统 中 数字 信号 传输 的 一 种 不 稳定 现象 ， 也 即 数字 信号 在 
传输 过 程 中 ， 造 成 的 脉冲 信号 在 时 间 间 隔 上 不 再 是 等 间隔 的 ， 而 是 随时 间 变化 的 。 

拌 动 是 由 于 噪声 、 定 时 恢复 电路 调谐 不 准 、 系 统 复 用 设备 的 复 用 和 分 路 过 程 中 引入 
的 时 间 误 差 ， 以 及 传输 信道 质量 变化 等 多 种 因素 引起 的 。 当 有 多 个 中 继 站 时 ， 拌 动 会 产 
生 累 积 ， 对 数字 传输 系统 产生 影响 ， 因 此 ， 一 般 都 有 规定 的 限度 。 持 动容 限 一 般 用 峰 - 
峰 拉 动 来 描述 ， 它 是 指 某 个 特定 的 拉动 比特 的 时 间 位 置 相 对 于 该 比特 拉动 时 的 时 间 位 置 
的 最 大 部 分 偏离 。 设 数字 脉冲 一 比特 宽度 为 7， 偏离 位 置 用 Ar 表示 ， 则 

抖动 容 限 = 全 X1009 


1.2.1.2 ”传输 指标 


通常 需要 对 网 络 的 效率 和 性 能 进行 衡量 ， 因 此 了 解 各 种 影响 网 络 性 能 的 传输 指标 是 
很 重要 的 。 

1. 带宽 

在 过 去 ， 通 信 的 主干 线路 都 用 来 传送 模拟 信号 ， 一 个 特定 的 信号 通常 是 由 许多 不 同 
的 频率 成 分 组 成 的 ， 因 此 ， 一 个 信号 的 带宽 是 指 该 信号 的 各 种 不 同 频率 成 分 所 占据 的 频 
率 范围 ， 也 就 是 说 ， 带 宽 本 来 是 指 某 个 信号 具有 的 频带 宽度 ， 单 位 是 赫 。 

当 通 信 线 路 用 来 传送 数字 信号 时 ， 数 据 率 就 应 当成 为 数字 信道 最 重要 的 指标 。 但 习 
惯 上 ， 人 们 愿意 将 “带宽 ”作为 数字 信道 所 能 传送 的 “最 高 数据 率 ”的 同义词 。 因 此 ， 
网 络 的 带宽 是 指 在 一 段 特定 的 时 间 内 网 络 所 能 传送 的 比特 数 ， 单 位 是 比特 每 秒 。 例 如 ， 
一 个 网 络 带宽 为 10Mbps， 意 味 着 每 秒 能 传送 1 千 万 个 比特 。 

正 因为 带宽 代表 数字 信号 的 发 送 速率 ， 因 此 带宽 有 时 也 称 为 吞吐 量 throughput)。 
实际 应 用 中 ， 吞 吐 量 常用 每 秒 发 送 的 比特 数 〈 或 字 节 数 、 帧 数 ) 来 表示 。 


第 1 章 计算 机 网 络 原理 13 


2. 时 延 
时 延 是 指 一 个 报 文 或 分 组 从 一 个 网 络 一 端 传 到 另 一 端 所 需 的 时 间 。 通 常 ， 时 延 由 三 
个 部 分 组 成 。 
1) 发 送 时 延 
发 送 时 延 又 称 为 传输 时 延 ， 是 节点 在 发 送 数 据 时 使 报 文 或 分 组 从 节点 进入 到 传输 媒 
体 所 需要 的 时 间 ， 也 就 是 从 报 文 或 分 组 的 第 一 个 比特 开始 发 送 算 起 ， 到 最 后 一 个 比特 发 
送 完毕 所 需 的 时 间 。 它 的 计算 公式 是 : 
发 送 时 延 一 报 文 或 分 组 长 度 
信道 带宽 
信道 带宽 是 指数 据 在 信道 上 的 发 送 速率 ， 也 常 称 为 数据 在 信道 上 的 传输 速率 。 
2) 传播 时 延 
传播 时 延 是 电磁 波 在 信道 中 需要 传播 一 定 的 距离 而 花费 的 时 间 ， 其 计算 公式 是 : 
传播 时 延 _ 信道 长 度 
电磁 波 在 信道 上 的 传播 速率 
电磁 波 在 自由 空间 的 传播 速率 是 光速 ， 即 3.0X 10xkm/s。 电 磁 波 在 网 络 传输 媒体 中 
的 传播 速率 比 在 自由 空间 要 略 低 一 些 ， 在 铜 线 中 的 传播 速率 约 为 23X10*km/s， 在 光纤 
中 的 传播 速率 约 为 2.0X 10km/s。 
3) 处 理 时 延 
处 理 时 延 是 数据 在 交换 节点 为 存储 转发 而 进行 一 些 必要 的 处 理 所 花 费 的 时 间 。 处 理 
时 延 重要 的 组 成 部 分 是 分 组 在 节点 缓存 队列 中 排队 所 经 历 的 排队 时 延 ， 因 此 ， 处 理 时 延 
的 长 短 通常 取决 于 网 络 中 当时 的 通信 量 ， 当 网 络 的 通信 量 大 时 ， 还 会 发 生 队列 溢出 ， 使 
分 组 丢失 ， 这 相当 于 处 理 时 延 为 无 穷 大 。 
这 样 ， 数 据 经 历 的 总 时 延 就 是 以 上 三 种 时 延 之 和 : 
总 时 延 = 传 播 时 延 + 发 送 时 延 + 处 理 时 延 
在 计算 机 网 络 中 ， 往 返 时 延 (Round-Trip Time，RIT) 也 是 一 个 重要 的 性 能 指标 ， 
它 表 示 从 发 送 方 发 送 数据 开始 ， 到 发 送 方 收 到 来 自 接收 方 的 确认 ， 总 共 经 历 的 时 延 。 对 
于 复杂 的 网 络 ， 往 返 时 延 要 包括 各 中 间 节 点 的 处 理 时 延 和 转发 数据 时 的 发 送 时 延 。 
当 客 户 实现 新 的 数字 语音 和 视频 应 用 时 ， 可 能 更 关心 时 延 变化 。 时 延 变化 通常 与 端 
到 端 或 者 往返 时 延 一 起 ， 对 应 用 的 性 能 需求 进行 全 面 的 描述 。 当 用 户 对 信息 的 两 次 获得 
的 时 间 间 隔 较为 敏感 时 ， 就 需要 用 时 延 变化 来 描述 性 能 。 
3. 时 延 带宽 积 
将 网 络 性 能 的 传播 时 延 和 带宽 两 个 基本 度量 相 乘 ， 就 得 到 另 一 个 有 用 的 度量 : 时 延 
带宽 积 ， 即 
时 延 带 宽 积 = 传播 时 延 X 带 宽 
直观 地 说 ， 如 果 将 一 对 进程 之 间 的 信道 看 成 一 条 中 空 的 管道 ， 时 延 相当 于 管道 的 长 
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度 ， 带 宽 相 当 于 管道 的 直径 ， 如 图 1-10 所 示 ， 那 么 时 延 带宽 积 就 是 管道 的 容积 ， 即 它 所 
能 容纳 的 比特 数 。 


过 时 延 


| 
总 
| 


图 1-10 将 网 络 看 作 一 个 管道 


构造 高 性 能 网 络 时 知道 时 延 带宽 积 是 很 重要 的 ， 因 为 它 相当 于 第 一 个 比特 到 达 接收 
方 之 前 ， 发 送 方 最 多 发 送 的 比特 数 。 如 果 发 送 方 希望 接收 方 给 出 比特 已 经 开始 到 达 的 信 
号 ， 而 且 这 个 信号 发 回 到 发 送 方 需要 经 过 另 一 信道 时 延 ， 那 么 发 送 方 在 接收 到 到 达 信号 
之 前 能 够 发 完 2 倍 时 延 带宽 积 的 数据 。 另 一 方面 ， 如 果 发 送 方 没有 填 满 管道 ， 即 它 停 下 
来 等 到 达 信号 ， 那 么 发 送 方 就 不 能 充分 利用 网 络 。 
4. 误 码 率 
在 数字 通信 中 是 用 脉冲 信号 携带 信息 ， 由 于 噪声 、 串 音 、 码 间 干 扰 以 及 其 他 突 发 因 
素 的 影响 ， 当 干扰 幅度 超过 脉冲 信号 再 生 判 决 的 某 一 门限 值 时 ， 将 会 造成 误 判 而 成 为 误 
码 。 误 码 用 误 码 率 来 表征 ， 它 指 在 一 定 统计 时 间 内 ， 数 字 信 号 在 传输 过 程 中 发 生 错误 的 
位 数 与 传输 的 总 位 数 之 比 ， 用 符号 P. 表 示 : 
。 ”错误 位 数 
下 一 中 奉 输 的 总 位 攻 


1.2.1.3 ”数字 传输 与 模拟 传输 


按 承载 消息 的 电信 号 形式 的 不 同 ， 通 信 可 分 为 模拟 传输 和 数字 传输 。 

模拟 传输 是 指 以 模拟 信号 来 传输 消息 的 通信 方式 。 当 信号 的 某 一 参量 可 以 取 无 限 多 
个 数值 ， 且 直接 与 消息 相对 应 时 ， 称 为 模拟 信号 。 

数字 传输 是 指 用 数字 信号 来 传送 消息 的 通信 方式 。 当 信号 的 某 一 参量 只 能 取 有 限 个 
数值 ， 且 常常 不 直接 与 消息 相对 应 时 ， 称 为 数字 信号 ， 有 时 也 称 为 离散 信号 。 

不 论 是 数字 数据 还 是 模拟 数据 ， 都 可 以 采用 两 种 传输 方式 之 一 进行 传输 。 

数字 数据 《二进制 序列 ) 一 编码 为 数字 信号 一 数字 传输 

数字 数据 《二进制 序列 ) 一 调制 为 模拟 信号 (MODEM) 一 模拟 传输 

模拟 数据 〈 连 续 值 ) 一 编码 为 数字 信号 〈CODEC) 一 数字 传输 

模拟 数据 《二 进 制 序 列 ) 一 调制 为 模拟 信号 一 模拟 传输 
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1.2.1.4 ”基带 传输 与 频带 传输 


基带 传输 是 指 信 号 没有 经 过 调制 而 直接 送 到 信道 中 去 传输 的 一 种 方式 ， 采 用 这 种 信 
号 传输 技术 的 通信 系统 称 为 基带 传输 通信 系统 ， 简 称 基带 系统 。 频 带 传输 是 指 信号 经 过 
调制 后 再 送 到 信道 中 传输 的 一 种 方式 ， 接 收 端 要 进行 相应 的 解 调 才 能 恢复 原来 的 信号 ， 
采用 这 种 信号 传输 技术 的 通信 系统 称 为 频带 传输 通信 系统 ， 简 称 频带 系统 。 


1.2.1.5 ”传输 损害 


由 于 各 种 的 传输 损害 ， 任 何 通信 系统 接收 到 的 信号 和 发 送 的 信号 会 有 所 不 同 。 对 模 
拟 信号 而 言 ， 这 些 损害 导致 了 各 种 随机 的 改变 而 降低 了 信号 的 质量 。 对 数字 信号 而 言 ， 
则 引起 位 串 错误 ， 比 特 1 变 为 比特 0 或 比特 0 变 成 比特 1。 最 有 影响 的 传输 损害 包括 衰 
减 、 延 迟 变形 和 噪声 。 

1. 衰减 

在 任何 传输 介质 上 信号 强度 将 随 着 距离 延伸 而 减弱 。 对 有 线 类 传输 介质 ， 强 度 减弱 
或 衰减 一 般 具 有 对 数 函数 性 ， 对 无 线 类 传输 介质 ， 衰 减 则 是 距离 和 大 气 组 成 所 构成 的 复 
合 函 数 。 

不 可 避免 的 衰减 主要 提出 了 三 个 问题 。 第 一 个 问题 就 是 接收 到 的 信号 必须 有 足够 的 
强度 ， 只 有 这 样 ， 接 收 器 里 的 电子 电路 才能 辨别 、 解 释 信 号 。 第 二 个 问题 就 是 信号 需 比 
接收 到 的 噪声 维持 一 个 更 高 的 电 平 ， 以 避免 出 错 。 第 三 个 问题 是 针对 模拟 信号 的 ， 衰 减 
是 频率 的 增 量 函数 ， 所 以 接收 的 信号 会 扭曲 。 

对 于 第 一 个 和 第 二 个 问题 可 以 用 增加 信号 强度 、 设 置 放大 器 或 中 继 器 来 解决 。 就 点 
对 点 链 路 而 言 ， 发 送 器 的 信号 强度 必须 足以 为 接收 方 所 辨认 ， 但 是 不 能 强 到 使 发 送 器 的 
电路 过 载 ， 否 则 会 产生 变形 信号 。 在 超过 一 定 距 离 后 ， 信 号 衰减 将 会 加 大 ， 这 时 使 用 放 
大 器 或 中 继 器 使 信号 再 生 。 这 些 问题 在 多 点 线路 里 会 变 得 复杂 ， 这 时 从 发 送 器 到 接收 器 
的 距离 是 可 变 的 。 

对 于 第 三 个 问题 可 以 使 用 技术 手段 使 在 某 个 频带 内 的 频率 衰减 趋 于 相等 。 对 于 语音 
级 电话 线 来 说 ， 通 常 使 用 在 线路 上 加 载 线圈 以 改变 线路 的 电气 属性 ， 结 果 使 衰减 效果 趋 
于 平滑 。 另 一 种 方法 是 使 用 高 频 放 大 器 将 高 频 放大 。 

2. 延迟 变形 

延迟 变形 是 有 线 传输 介质 独 有 的 现象 ， 这 种 变形 是 由 有 线 介 质 上 信号 传播 速率 随 着 
频率 而 变化 所 引起 的 。 在 一 个 有 限 的 信号 频带 中 ， 中 心 频率 附近 的 信号 速度 最 高 ， 而 频 
带 两 边 的 信号 速度 较 低 ， 这 样 ， 信 号 的 各 种 频率 成 分 将 在 不 同 的 时 间 到 达 接 收 器 。 

由 于 信号 中 各 种 成 分 延迟 使 得 接收 到 的 信号 变形 的 这 种 效果 称 为 延迟 变形 。 延 迟 变 
形 尤 其 对 数字 信号 来 说 影响 重大 ， 一 个 位 元 的 信号 成 分 可 能 溢出 到 其 他 的 位 元 ， 引 起 信 
号 内 部 的 相互 串扰 ， 这 将 限制 传输 控制 上 的 位 速率 。 
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3. 了 噪声 

因 传 输 系统 造成 的 各 种 失真 ， 以 及 在 传输 和 接收 之 间 的 某 处 插入 的 不 必要 的 信号 产 
生 了 噪声 。 噪 声 可 分 为 热 噪声 、 内 调制 杂音 、 串 扰 、 脉 冲 噪声 4 种 。 

热 噪声 是 导体 中 电子 的 热 振 动 引 起 的 ， 它 出 现在 所 有 电子 设备 和 传输 介质 中 ， 且 是 
温度 的 函数 。 噪 声 值 可 以 表示 为 NkTW。 其 中 为 常数 (1.3803X10-23J/*K),，7 为 温 
度 ， 灰 为 带宽 。 热 噪声 是 在 所 有 频谱 中 以 相同 的 形态 分 布 ， 所 以 常 称 为 白 噪声 ， 它 是 不 
能 够 消除 的 ， 因 此 对 通信 系统 性 能 就 构成 了 上 限 。 

当 不 同 频率 的 信号 共享 同一 传输 介质 时 ， 可 能 导致 内 调制 杂音 。 内 调制 杂音 的 结果 
往往 产生 一 些 新 的 信号 ， 它 们 的 频率 是 某 两 个 频率 和 、 差 或 倍数 ， 这 些 信 号 可 能 对 正常 
信号 产生 印象 。 当 发 送 器 、 接 收 器 或 介入 的 传输 设备 里 有 一 些 非 线性 问题 时 ， 将 会 产生 
内 调制 杂音 。 

串扰 是 信号 通路 之 间 产 生 了 不 必要 的 耦合 ， 这 一 般 在 邻近 的 双 绞 线 之 间 因 电 耦 合 而 
产生 ， 在 极 少数 情况 下 也 可 能 在 运载 多 个 信号 的 同 轴 电 缆 中 产生 。 

脉冲 噪声 是 非 连续 的 且 不 可 预测 的 。 在 短 时 间 里 ， 它 可 具有 不 规则 的 脉冲 或 噪声 峰 
值 ， 并 且 振 幅 较 大 。 它 产生 的 原因 包括 各 种 意外 的 电磁 干扰 ， 如 闪电 ， 以 及 通信 系统 的 
故障 。 脉 冲 噪声 对 模拟 信号 一 般 仅 是 小 麻烦 ， 但 对 数字 信号 是 出 错 的 主要 原因 。 


1.2.2 ”数据 通信 系统 


1.2.2.1 ”数据 通信 系统 模型 


数据 通信 系统 的 基本 组 成 一 般 包 括 发 送 端 、 接 收 端 以 及 收发 两 端 之 间 的 信道 三 个 部 
分 ， 如 图 1-11 所 示 。 


一 一 接收 端 一 一 


图 1-11 数据 通信 系统 的 模型 


信息 源 是 信息 或 信息 序列 的 产生 源 ， 它 泛 指 一 切 发 信者 ， 可 以 是 人 也 可 以 是 机 器 设 
备 ， 能 够 产生 诸如 声音 、 数 据 、 文 字 、 图 像 、 代 码 等 电信 号 。 信 息 源 发 出 信息 的 形式 可 
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以 是 连续 的 ， 也 可 以 是 离散 的 。 

发 送 设备 把 信息 源 发 出 的 信息 变换 成 便于 传输 的 形式 ， 使 之 适应 于 信道 传输 特性 的 
要 求 并 送 入 信道 的 各 种 设备 。 发 送 设备 是 一 个 整体 概念 ， 可 能 包括 许多 的 电路 、 器 件 与 
系统 ， 比 如 把 声音 转换 为 电信 号 的 麦克 风 ， 把 基带 信号 转换 成 频带 信号 的 调制 器 等 。 

信道 是 指 传输 信号 的 通道 。 根 据 传输 媒质 的 不 同 ， 可 分 为 有 线 信道 〈 明 线 、 电 缆 、 
光纤 等 ) 和 无 线 信道 《微波 、 卫 星 等 )。 明 线 和 电缆 可 用 来 传输 速率 低 的 数字 信号 ， 其 他 
信道 均 要 进行 调制 。 只 经 信道 编码 而 不 经 调制 就 可 直接 送 到 明 线 或 电缆 中 去 传输 的 数字 
信号 称 为 数字 基带 信号 ， 经 调制 后 的 信号 称 为 频带 信号 。 信 道 噪声 ， 可 能 是 进入 信道 的 
各 种 外 部 噪声 ， 也 可 能 是 通信 系统 中 各 种 电路 、 器 件 或 设备 自身 产生 的 内 部 噪声 。 

接收 设备 接收 从 信道 传输 过 来 的 信息 ， 并 转换 成 信息 宿 便 于 接收 的 形式 ， 其 功能 与 
发 送 设备 的 功能 刚好 相反 。 接 收 设备 也 是 一 个 整体 概念 ， 可 能 包括 许多 的 电路 、 器 件 与 
系统 ， 比 如 把 频带 信号 转换 为 基带 信号 的 解 调 器 ， 把 数字 信号 转换 为 模拟 信号 的 数 / 模 转 
换 器 等 。 

信息 宿 是 接收 发 送 端 信息 的 对 象 ， 它 可 以 是 人 ， 也 可 以 是 机 器 设备 。 

按照 信道 中 所 传输 信号 的 形式 不 同 ， 通 信 系 统 可 以 进一步 分 为 模拟 通信 系统 和 数字 
通信 系统 。 数字 通 信 系统 的 模型 如 图 1-12 所 示 , 它 完成 信号 的 产生 、 变 换 、 传 递 及 接收 。 


传输 系统 


BG 


一- 


1 
1 
| 
| 
1 
1 
1 
1 
1 
人 
1 
1 
1 
1 
1 
1 
1 
1 
T 


噪声 源 


图 1-12 ”数字 通信 系统 的 模型 


信 源 编码 的 主要 功能 是 把 人 的 话音 以 及 机 器 产生 的 如 文字 、 图 表 及 图 像 等 模拟 信和 号 
变换 成 数字 信号 ， 即 所 谓 的 模 / 数 CA/D) 变换 。 在 数字 系统 中 ， 信 源 编 码 一 般 包括 模拟 
信号 的 数字 化 和 压缩 编码 两 个 范畴 ， 压 缩编 码 对 数字 信号 进行 处 理 ， 去 除 或 减少 信号 的 
元 余 度 。 

信道 编码 是 将 数字 信号 变换 成 与 调制 方式 和 传输 信道 匹配 的 形式 ， 从 而 降低 传输 误 
码 率 ， 提 高 传输 的 可 靠 性 。 

根据 信道 媒质 特性 ， 对 编码 后 的 数字 信号 还 要 经 调制 后 再 送 入 信道 中 ， 如 光纤 信道 
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中 的 光 调 制 ， 无 线 信道 中 的 调频 、 调 相 、 调 幅 等 。 
解 调 、 信 道 解 码 和 信 源 解码 分 别 是 调制 、 信 道 编 码 和 信 源 解码 的 逆 过 程 。 


1.2.2.2 ”数据 传输 速率 


为 了 提高 数据 的 传输 速率 ， 我 们 总 希望 在 一 定时 间 内 能 够 传输 尽 可 能 多 的 码 元 ， 然 
而 任何 实际 的 信道 都 不 是 理想 的 ， 在 传输 信号 时 会 产生 各 种 失真 以 及 带 来 多 种 干扰 。 

即使 信道 比较 理想 ， 码 元 的 传输 速率 也 不 是 不 受 限制 的 。 早 在 1924 年 ， 奈 奎 斯 特 
CNyquist) 就 推导 出 在 理想 低 通 信道 下 的 最 高 码 元 传输 速率 的 公式 : 

理想 低 通 信道 的 最 高 码 元 传输 速率 = 2W 

其 中 矿 是 理想 低 通 信道 的 带宽 ， 单 位 为 赫兹 (Hz)。 单 位 是 Baud〈 波 特 )，1 波 特 为 每 
秒 传送 1 个 码 元 。 码 元 传输 速率 也 称 为 调制 速率 。 

该 公式 就 是 著名 的 奈 氏 准则 。 若 码 元 的 传输 速率 超过 了 奈 氏 准则 所 给 出 的 数值 ， 则 
将 出 现 码 元 之 间 的 相互 干扰 ， 以 致 在 接收 方 无 法 正确 判定 在 发 送 方 所 发 送 的 码 元 是 1 还 
是 0。 

由 于 码 元 的 传输 速率 受 奈 氏 准 则 的 制约 ， 所 以 要 提高 数据 的 传输 速率 ， 就 必须 设法 
使 每 个 码 元 能 携带 更 多 个 比特 的 信息 量 ， 这 就 需要 采用 多 元 制 的 调制 方法 。 

1948 年 ， 香 农 〈Shannon) 用 信息 论 的 理论 推导 出 了 带宽 受 限 是 有 高 斯 白 噪声 干扰 
的 信道 的 极限 数据 传输 速率 。 当 用 此 速率 进行 传输 时 ， 可 以 做 到 不 产生 误差 。 信 道 的 极 
限 数据 传输 速率 C 可 表示 为 : 

C=Wlog, (1+S/N) bps 

其 中 到 为 信道 的 带宽 , 5 为 信道 内 所 传 信号 的 平均 功率 , N 为 信道 内 部 的 高 斯 噪声 功率 。 

该 公式 亦 称 为 香农 公式 ， 它 表明 ， 信 道 的 带宽 或 信道 中 的 信 噪 比 越 大 ， 则 信道 的 极 
限 传输 速率 就 越 高 。 更 重要 的 是 ， 香 农 公式 指出 : 只 要 数据 传输 速率 低 于 信道 的 极限 数 
据 传输 速率 ， 就 一 定 能 找到 某 种 办 法 来 实现 无 差错 的 传输 。 


1.2.2.3 ”同步 方式 


在 远 距离 传输 数据 时 通常 采用 串 行 的 方式 ， 通 信 双 方 之 间 的 数据 信息 沿 着 单 根 或 几 
根 通 信 线 路 传输 ， 这 时 要 考虑 的 问题 之 一 就 是 同步 。 

1. 同步 控制 的 方法 

同步 控制 的 方法 包括 异步 起 止 方式 和 同步 方式 。 

在 异步 起 止 方式 中 ， 接 收 方 和 发 送 方 各 自 内 部 有 时 钟 发 生 器 ， 但 频率 必须 一 致 。 通 
信 双 方 进行 异步 串 行 通信 必须 遵守 异步 串 行 通信 控制 规程 ， 其 特点 是 通信 双方 以 字符 作 
为 数据 传输 单位 ， 且 发 送 方 传送 字符 的 间隔 时 间 是 不 定 的 。 

在 同步 串 行 通信 方式 中 ， 以 某 种 方式 将 发 送 方 的 时 钟 信号 也 发 送 过 去 ， 接 收 方 用 这 
个 统一 的 时 钟 信号 来 选 通 数据 信号 ， 以 此 得 到 和 发 送 完全 一 致 的 结果 。 由 于 同步 串 行 通 
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信和 发 送 端 和 接收 端 具 有 统一 的 时 钟 信号 ,发 送 和 接收 的 每 一 位 信号 都 受 同步 信号 的 调整 
因此 ， 同 步 串 行 通信 一 次 传送 的 信息 量 比 异 步 串 行 通信 大 得 多 ， 但 是 付出 的 代价 是 设备 
复杂 。 

2. 同步 的 实现 

同步 的 实现 包括 位 同步 、 字 符 同 步 、 帧 同步 几 个 方面 。 

1) 位 同步 

位 同步 是 接收 器 从 接收 到 的 信号 中 正确 地 恢复 原来 数据 信号 的 基础 。 实 现 位 同步 的 
方法 有 插入 导 频 法 和 自 同步 法 两 种 。 插 入 导 频 法 是 在 发 送 端 发 送 的 信号 中 插入 专门 的 位 
同步 导 频 信号 , 接收 端 把 这 个 专门 的 导 频 信号 检测 出 来 作为 位 同步 信号 , 如 FM 制 编码 、 
MFM 制 编码 等 。 自 同步 法 是 发 送 端 不 发 送 专门 的 位 同步 导 频 信号 ， 只 是 控制 连续 0 的 
个 数 不 要 太 多 ， 接 收 端 设法 从 收 到 的 数字 信号 中 提取 同步 信息 ， 如 HDB; 编码 。 

2) 字符 同步 

字符 同步 以 字符 为 传输 单位 ， 其 传输 格式 如 图 1-13 所 示 。 一 个 字符 单位 除 表 示 信 息 
的 数据 位 外 ， 还 有 若干 个 附加 位 : 1 位 起 始 位 ， 恒 为 0， 可 选 的 1 位 奇偶 位 ;可 选 的 停 
止 位 ， 可 为 1 位 、1.5 位 或 2 位 ， 恒 为 1。 传 送 一 个 字符 ， 必 须 以 起 始 位 开始 ， 以 停止 位 
结束 。 


- 数据 位 -| | 
1 1 0 | vol | vol 1/0| 1/0| 1/0| 1/0| 10 1 | 了 1 1 0 
空 号 | 起 er 空 号 
站 上 而 上 
位 位 
- 个 字符 单位 "| 


图 1-13 字符 同步 传输 格式 


3) 帧 同步 

最 初 解决 帧 同步 的 方法 是 在 帧 之 间 插 入 时 间 间 隔 ， 依 赖 计时 技术 识别 帧 的 开始 和 结 
束 。 但 是 ， 这 种 方法 在 网 络 上 很 难保 证 准确 计时 ， 所 以 又 提出 了 其 他 方法 。 

(1) 字符 计数 法 。 

字符 计数 法 用 一 个 特殊 的 字符 表示 一 帧 的 开始 ， 然 后 用 一 个 字段 标明 该 帧 包含 的 字 
节 数 ， 当 接收 方 收 到 该 帧 时 ， 根 据 此 字段 提供 的 字 节 数 ， 便 可 知道 该 帧 的 结束 位 和 下 一 
帧 的 开始 位 。 

该 种 方法 的 主要 问题 是 : 如 果 计 数字 段 在 传输 中 出 错 ， 接 收 方 就 无 法 判断 所 传输 帧 
的 结束 位 ， 当 然 也 无 法 知道 下 一 帧 的 开始 位 ， 使 发 送 方 和 接收 方 无 法 同步 。 即 使 接收 方 
通过 差错 控制 得 知 传输 出 错 ， 也 不 知道 应 该 让 发 送 方 跳 回 多 少 字符 开始 重 传 。 
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(2) 带 字符 填充 的 首尾 界 符 法 。 

带 字符 填充 的 首尾 界 符 法 在 每 一 帧 的 头 部 用 帧 开始 字符 标记 ， 在 帧 的 尾部 用 帧 结束 
字符 标记 。 但 是 ， 在 数据 传输 中 ， 如 果 帧 的 首尾 定 界 符 出 现在 信息 字段 中 ， 将 会 造成 对 
数据 的 错误 接收 。 为 避免 这 种 现象 出 现 ， 采 用 在 信息 位 中 出 现 的 定 界 符 前 填充 转 义 字符 
的 方法 来 区 别 。 

(3) 带 位 填充 的 首尾 标志 法 。 

带 位 填充 的 首尾 标志 法 使 用 特定 的 位 模式 01111110 作为 帧 的 开始 和 结束 标志 。 为 了 
不 使 信息 字段 中 出 现 的 比特 流 01111110 被 误 判 为 帧 的 首尾 标志 , 发 送 方 在 信息 位 中 每 遇 
到 5 个 连续 的 比特 1 时 , 将 自动 在 其 后 插入 一 个 比特 0, 在 接收 方 收 到 连续 的 5 个 比特 1 
时 ， 则 自动 删除 后 面 紧 跟 的 一 个 比特 0。 

(4) 物理 编码 违例 法 。 

物理 编码 违例 法 将 数据 位 “1” 编 码 成 高 - 低 电 平 对 ， 数 据 位 “0” 编 码 成 低 - 高 电 平 
对 。 这 样 每 一 个 数据 位 在 中 间 都 有 一 次 跳 变 ， 使 接收 方 容易 将 帧 的 边界 定位 。 


1.2.3 数据 调制 与 编码 


虽然 数字 化 已 成 为 当今 的 趋势 ， 但 并 不 是 使 用 数字 数据 和 数字 信号 就 一 定 是 “先进 
的 ”使 用 模拟 数据 和 模拟 信号 就 一 定 是 “落后 的 ” 数据 究竟 应 当 是 数字 的 还 是 模拟 的 ， 
是 由 所 产生 的 数据 的 性 质 决定 的 。 例 如 ， 运 送 话音 信息 的 声波 就 是 模拟 数据 ， 但 数据 必 
须 转换 成 信号 才能 在 网 络 媒体 上 传输 。 一 般 来 说 ， 模 拟 数据 和 数字 数据 都 可 以 转换 为 模 
拟 信号 或 数字 信号 。 


1.2.3.1 ”数字 数据 编码 为 数字 信号 


对 于 数字 数据 ， 最 普遍 而 且 是 最 容易 的 编码 方法 就 是 用 两 个 电压 电 平 来 表示 两 个 二 
进 制 数 字 。 例 如 ， 无 电压 表示 数字 0， 有 电压 表示 数字 1， 不 归 零 制 就 是 这 种 编码 方式 。 

但 是 不 归 零 制 传输 也 有 若干 缺点 。 它 难以 决定 一 位 的 结束 和 另 一 位 的 开始 ， 需 要 有 
某 种 方法 使 发 送 器 和 接收 器 进行 定时 。 如 果 传 输 1 或 0 过 多 ， 在 单位 时 间 内 将 有 累积 的 
直流 分 量 。 而 且 没 有 检 错 功能 。 为 了 克服 上 述 缺 点 ， 编 码 方案 有 曼彻斯特 编码 和 差分 曼 
彻 斯 特 编码 、 双 极 性 半空 占 码 (AMI)、 双 极 性 8 零 蔡 换 码 (B8ZS)、 三 阶 高 密度 双 极 性 
码 (HDB;3)、nB/mB 码 等 。 

1. 曼彻斯特 编码 和 差分 曼彻斯特 编码 

曼彻斯特 编码 方法 是 将 每 一 个 码 元 再 分 成 两 个 相等 间隔 ， 码 元 1 是 前 一 个 间隔 为 高 
电 平 而 后 一 个 间隔 为 低 电 平 ， 码 元 0 则 刚好 相反 。 这 种 编码 的 好 处 就 是 可 以 保证 在 每 一 
个 码 元 的 正中 间 时 间 出 现 一 次 电 平 的 转换 ， 利 于 接收 方 提取 位 同步 信号 ， 但 是 它 所 占 的 
频带 宽度 比 原始 的 基带 信号 增加 了 一 倍 。 差 分 曼彻斯特 编码 规则 是 : 若 码 元 为 1 则 其 前 
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半 个 码 元 的 电 平 与 上 一 个 码 元 的 后 半 个 码 元 的 电 平一 样 ， 若 码 元 为 0 则 其 前 半 个 码 元 的 
电 平 与 上 一 个 码 元 的 后 半 个 码 元 的 电 平 相反 。 

2. 双 极 性 半空 占 码 (AMI) 

AMI 码 编码 规律 如 图 1-14 所 示 ， 原 码 序列 中 的 “0” 码 仍 为 “0”， 原 码 序列 中 的 
“1” 码 则 交 蔡 变 为 +1 和 -1。 由 于 传 号 “1” 码 极 性 交 蔡 ， 如 果 接 收 端 发 现 极 性 不 是 交替 
出 现 就 一 定 出 现 了 传输 误 码 ， 因 此 可 检 出 奇数 个 误 码 。 但 码 流 中 连续 0 过 多 时 ， 不 利于 
定时 提取 。 


原 码 序列 人 1 1 0 1 0 1 


十 1 +1 


图 1-14 AMI 码 的 编码 规律 


3. 双 极 性 8 零 蔡 换 码 (B8ZS) 

B8ZS 为 了 克服 AMI 连 零 过 多 不 利于 定时 提取 的 缺点 ， 在 AMI 的 基础 上 作 了 修改 ， 
其 规则 如 下 : 

。 如 果 出 现 一 个 全 零 的 8 位 组 ， 并 且 在 这 个 8 位 组 之 前 的 最 后 一 个 脉冲 为 正 ， 那 么 

这 个 8 位 组 中 8 个 0 被 编码 为 0001:1.01_1;。 
。 如 果 出 现 一 个 全 零 的 8 位 组 ， 并 且 在 这 个 8 位 组 之 前 的 最 后 一 个 脉冲 为 负 ， 那 么 
这 个 8 位 组 中 8 个 0 被 编码 为 0001_.1:01;1_。 

4. 三 阶 高 密度 双 极 性 码 (HDB;) 

HDB3 码 保留 了 AMI 码 的 所 有 优点 ， 还 可 将 连 零 限制 在 3 个 以 内 ， 克 服 了 AMI 码 
如 果 连 零 过 多 不 利于 定时 提取 的 缺点 。 普 通 二 进 制 码 流 变 换 为 HDBs 码 的 规律 如 下 : 

@ 在 二 进 制 码 流 中 ， 当 连续 出 现 4 个 以 上 连 “0” 时 ， 从 第 一 个 “0” 起 到 4 个 连 
“0” 中 ， 最 后 一 个 “0” 用“V” 码 取代 ， 此 码 称 为 极 性 破坏 点 。 

@ 各 “V” 码 必须 进行 极 性 交替 。 

@ 相 邻 “V” 码 间 ， 前 “V” 码 后 邻 的 原 传 号 码 应 与 之 符合 极 性 交 蔡 原则 。 

@ 要 使 “V” 码 前 邻 一 定 出 现 一 个 与 之 极 性 相同 的 码 位 ， 按 前 三 步 变 换 后 可 能 会 出 
现 与 “V” 码 同 极 性 的 码 ， 如 果 没 有 出 现 ， 就 将 四 连 “0” 中 的 第 一 个 “0” 用 “B” 码 取 
代 ， 使 “B” 码 与 它 后 邻 的 “V” 码 同 极 性 。 

例 : 将 二 进 制 码 流 10000101100000000011 进行 HDB; 编码 。 
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原 码 序列 才 太 和 二 和 


(OY V V V 
(@) Ws 部) Vi 
(®) EOWLO00G00V0 O00 Vv 
@ 和 


从 上 面 的 例子 可 以 看 出 ， 当 两 个 “V” 码 之 间 原 传 号 码 “1” 为 奇数 个 时 ,“V” 码 前 
邻 必然 会 出 现 一 个 与 之 极 性 相同 的 码 ， 当 “1” 码 为 偶数 个 时 ， 第 一 个 连 “0” 必 然 用 B 
码 取代 。 所 以 在 接收 端 进行 HDB3 解码 时 ， 在 收 到 的 码 序列 中 检 出 相 邻 两 个 传 号 脉冲 为 
同 极 性 时 ， 后 者 为 “V” 码 。 若 相 邻 同 极 性 码 间 连 “0” 数 为 3， 则 第 一 个 同 极 性 码 为 原 
传 号 码 ， 解 码 时 只 将 “V” 码 变 为 “0”; 若 相 邻 同 极 性 码 间 为 两 个 连 “0” 时 ， 则 此 两 个 
连 “0” 前 后 原 码 均 恢复 为 “0”。 

5. nB/mB 码 

nB/mB 码 把 个 二 进 制 的 码 组 转变 为 m 个 二 进 制 的 码 组 ，m>n， 因 此 实际 的 码 组 有 
2” 种 ， 宛 余 码 组 有 2”-2”。 

在 高 速 光纤 传输 系统 中 ,应 用 较为 广泛 的 有 4B/5B、5B/6B、8B/10B、64B/66B。5B/6B 
码 是 从 6 位 二 进 制 的 64 种 组 合 中 精 选 出 32 个 码 组 对 信 源 进行 编码 ， 其 编码 表 如 表 1-2 
所 示 。 该 编码 表 列 有 正 模 式 和 负 模 式 两 种 ， 使 用 时 成 对 选择 ， 以 使 得 码 序 列 中 “1” 和 
“0” 的 个 数 趋 于 平衡 。5B/6B 码 具 有 如 下 特性 : 

。 编码 后 的 序列 中 最 大 的 连 0 和 连 1 个 数 为 5。 

。 累积 的 1，0 码 个 数 的 差 值 〈 称 为 数字 和 ) 在 -3 一 +3 范围 内 变化 ， 这 一 特性 可 用 

于 误 码 监测 。 
。 各 码 组 的 数字 和 没有 土 1 的 值 ， 可 用 于 码 组 同步 。 


表 1-2 SB/6B 编码 表 
输出 二 进 制 码 组 


输入 二 进 制 码 组 址 模式 负 模 式 
00000 110010 110010 
00001 110011 100001 
00010 110110 100010 
00011 100011 100011 
00100 110101 100100 
00101 100101 100101 
00110 100110 100110 
00111 100111 000111 
01000 101011 101000 


01001 101001 101001 
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续 表 
输入 二 进 制 码 组 省 站 = 和 本 9 和 

正 模式 负 模 式 
01010 101010 101010 
01011 001011 001011 
01100 101100 101100 
01101 101101 000101 
01110 101110 000110 
01111 001110 001110 
10000 110001 110001 
10001 111001 010001 
10010 111010 010010 
10011 010011 010011 
10100 110100 110100 
10101 010101 010101 
10110 010110 010110 
10111 O10111 010100 
11000 111000 011000 
11001 011001 011001 
11010 011010 011010 
11011 011011 001010 
11100 011100 011100 
11101 011101 001001 
11110 011110 001100 
11111 001101 001101 


1.2.3.2 ”数字 数据 调制 为 模拟 信号 


模拟 信号 发 送 的 基础 就 是 载波 信号 ， 可 用 4cos (olt+W) 表示 ,通过 调制 振幅 、 频 率 、 
相位 三 种 载波 特性 之 一 或 这 些 特性 的 某 种 组 合 来 对 数字 数据 进行 编码 。 

1. 基本 的 调制 方法 

最 基本 的 调制 方法 有 以 下 几 种 。 

(1) 幅 移 键 控 (Amplitude Shift Keying，ASK): 利用 载波 的 振幅 变化 去 携带 数字 数 
据 ， 而 载波 的 频率 、 相 位 都 保持 不 变 。 

(2) 频 移 键 控 (Frequency Shift Keying，FSK): 利用 已 调 波 的 频率 变化 去 携带 数字 
数据 ， 而 载波 的 振幅 、 相 位 不 变 。 

(3) 相 移 键 控 (Phase Shift Keying，PSK): 利用 已 调 波 的 相位 变化 去 携带 数字 数据 ， 
而 载波 的 频率 和 振幅 都 不 变 。 
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如 图 1-15 所 示 的 二 进 制 幅 移 键 控 、 频 移 键 控 和 相 移 键 控 的 例子 。2ASK 中 用 载波 有 
幅度 和 幅度 为 0 分 别 表示 数字 数据 的 “1” 和 “0”，2FSK 中 用 两 种 不 同 的 频率 分 别 表 
示 数 字数 据 的 “1” 和 “0”; 2PSK 中 用 0 相位 和 Zz 相位 分 别 表示 数字 数据 的 “1” 和 “0”。 
2ASK 信号 带宽 是 2h, 太 是 码 元 重复 频率 。2FSK 信和 号 的 抗 噪 性 能 优 于 2ASK 信号 ,带宽 
为 Aft2 有 hh，Af 为 频 差 。2PSK 信和 号 抗 噪 性 能 与 2ASK、2FSK 相 比 是 最 优 的 ， 带 宽 为 2h。 


基带 信号 0 1 0 0 1 1 1 0 0 
上 
2ASK 
上 
2FSK < 
上 
2PSK - 


图 1-15 二进制 幅 移 键 控 、 频 移 键 控 和 相 移 键 控 


在 二 相 调制 中 ,信号 每 变化 一 次 ， 就 发 送 一 个 比特 的 数据 , 为 了 提高 数据 的 传输 率 ， 
可 以 多 个 比特 进行 调制 。 一 般 而 言 ，n 个 比特 位 可 以 有 2” 个 组 合 ， 每 个 组 合 可 以 对 应 2” 
不 同 模 式 中 的 一 个 ， 此 时 ， 比 特 率 就 是 波 特 率 的 倍 ,它们 间 的 关系 可 用 如 下 公式 表示 : 

Rb=BlogsM 

其 中 R, 为 比特 率 ，B 为 波 特 率 ，M 为 模式 的 数目 。 

2. 正 交 振幅 调制 (Quadrature Amplitude Modulation,，QAM) 

信号 模式 的 数目 越 多 ， 意 味 着 比特 率 相对 于 波 特 率 的 倍数 越 大 ， 同 时 也 将 减 小 各 种 
模式 的 信号 之 间 的 差别 ， 接 收 方 要 将 各 种 差别 极 小 的 幅度 、 频 率 和 相位 识别 出 来 难度 很 
大 。 一 种 普遍 的 解决 方案 就 是 结合 使 用 振幅 、 频 率 和 相位 。 正 交 振幅 调制 就 是 一 种 常用 
的 技术 ， 将 幅 移 键 控 和 相 移 键 控 结 合 在 一 起 ， 把 两 个 频率 相同 的 模拟 信号 又 加 在 一 起 ， 
一 个 对 应 正弦 函数 ， 一 个 对 应 余弦 函数 。M 进 制 的 正 交 振幅 调制 可 简 记 为 MQAM， 其 
信号 可 表示 为 : 

S(1)=Csin( ot Deos( ef) 

MQAM 调制 器 与 解 调 器 的 原理 如 图 1-16 和 图 1-17 所 示 。 在 调制 器 中 ， 二 进 制 信号 
以 比特 率 户 送 入 调制 器 ， 经 串 / 并 变换 后 变 成 两 路 万 /2 的 二 进 制 信号 ， 再 经 过 2/ 变换 器 
变 成 工 进 制 和 速率 为 万 /2log2Z 的 信号 Ai 和 Bi， 接 着 进入 两 个 相 乘 器 ， 对 两 个 相位 差 为 
90° 的 正 交 载波 进行 调制 ， 它 们 输出 后 即 得 MAQM 信号 。 在 接收 端的 解 调 器 完成 与 调制 
器 相反 的 功能 。 
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一 一 > 2 变换 器 [一 一 | 低 通 


二 进 制 数 [ 友 离 市 


90° 移 相 


一 一 ”| 2 三 变换 器 [一 一 | ” 低 通 


图 1-16 MAQM 调制 器 原理 框图 


1 
组 合 与 并 | 二 进 制 数 
串 变 换 | 据 答 出 


一 人 一 载 频 恢复 时 钟 恢复 


低 通 | 判决 器 


图 1-17 MQAM 解 调 器 原理 框图 


1.2.3.3 ”模拟 数据 编码 为 数字 信号 


模拟 数据 编码 为 数字 信号 的 第 一 步 就 是 对 模拟 信号 实施 时 域 离散 人 化。 通常， 信号 时 
域 离散 化 是 用 一 个 周期 为 7 了 的 脉冲 信号 控制 采样 电路 对 模拟 信号 (7) 实施 采样 ， 得 到 样 
值 序列 AGO。 如 果 取 出 的 样 值 足够 多 ， 这 个 样 值 序列 就 能 逼近 原始 的 连续 信号 。 但 采样 
周期 7 取 多 大 才能 满足 用 样 值 序列 AD) 可 代表 模拟 信号 7(D) 的 要 求 呢 ? 采样 定理 可 以 解决 
这 个 问题 。 

低 通 采 样 定理 : 如 果 一 个 带 限 的 模拟 信号 ,/(0) 的 最 高 频率 分 量 为 户 ， 当 满足 采样 频 
率 /22f。 GELIT) 时 ， 所 获得 的 样 值 序列 £(n) 就 可 以 完全 代表 原 模拟 信号 (7)。 

得 到 样 值 序列 AD 后 ， 就 可 以 对 每 个 样 值 进 行 编码 了 。 编 码 的 方法 有 很 多 ， 其 中 最 
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基本 的 就 是 线性 的 脉冲 编码 调制 (Pulse Code Modulation，PCM)。 线 性 的 PCM 由 均匀 
量化 和 编码 两 部 分 组 成 。 

量化 是 将 样 值 幅度 离散 化 的 过 程 ， 也 就 是 按 某 种 规律 将 一 个 无 穷 集合 的 值 压 缩 到 一 
个 有 限 集合 中 。 所 谓 均匀 量化 是 以 等 间隔 对 任意 信号 值 来 量化 ， 即 将 信号 样 值 幅度 的 变 


化 范围 [-U，+U] 等 分 成 个 量化 级 ， 记 作 A， 则 
A= 艺 (UU 称 作 信号 过 载 点 电压 ) 

根据 量化 的 规则 ， 样 值 幅 度 落 在 某 一 量化 级 区 间 内 ， 则 由 该 级 的 中 心 值 一 个 值 来 量化 。 

获得 量化 值 后 ， 再 用 n 位 二 进 制 码 对 其 进行 编码 即 可 ， 码 组 的 长 度 ”与 量化 级 数 和 N 
之 间 的 关系 为 : 

N=2" 

例 : 一 个 模拟 数据 的 电压 变化 范围 为 [-1Vv，1V]， 采 样 值 为 0.33V， 采 用 线性 PCM 
将 其 编码 为 3 位 二 进 制 ， 解 码 后 误差 为 多 少 ? 

首先 求 出 N=2;=8，A=2X 1/8=0.25。 

然后 设计 出 量化 编码 表 ， 如 表 1-3 所 示 。 


表 1-3 量化 编码 表 


变化 区 间 
[1V, -0.75V) 
[0.75V，-0.5V) 
[05V，-0.25V) 
[-025V, 0V) 
[ov，025V) 
[025V，0.5V) 
[0.5V, 0.75V) 
[0.75V, 1V] 


000 
001 
010 
011 
100 
101 
110 
111 


接着 根据 表 1-3 可 知 0.33V 编码 为 101。 
最 后 接收 方 收 到 101 后 ， 也 是 根据 表 1-3 解码 为 0.375V， 误差 为 0.375V- 
0.33V=0.045V。 


1.2.3.4 ”模拟 数据 调制 为 模拟 信号 


模拟 数据 经 由 模拟 信号 传输 时 不 需 进行 变换 ,但 是 模拟 数据 本 身 的 频率 不 高 ， 由 于 
考虑 到 天 线 发 送 时 天 线 尺寸 的 问题 ， 模 拟 形式 的 输入 数据 也 需要 在 其 高 频 下 进行 调制 ， 
其 输出 信号 是 一 种 带 有 输入 数据 的 频率 极 高 的 模拟 信号 。 模 拟 数据 调制 为 模拟 信号 有 三 
种 不 同 的 调制 技术 : 调幅 (Amplitude Modulation，AM)、 调 频 (Frequency Modulation， 
FM) 与 调 相 (Phase Modulation，PM)， 其 中 最 常用 的 是 调幅 和 调频 。 调 频 和 调 相 调制 
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信号 的 频谱 都 是 调制 信号 频谱 的 非 线 性 变化 ， 而 且 二 者 已 调 信号 都 反映 出 载波 矢量 角度 
上 的 变化 ， 所 以 统称 为 角度 调制 。 

1. 调幅 

调幅 是 一 种 使 高 频 载 波 的 幅度 随 着 原始 模拟 数据 的 幅度 变化 而 变化 的 技术 。 载 波 的 
幅度 会 在 整个 调制 过 程 中 变动 ， 而 载波 的 频率 是 不 变 的 。 调 幅 调制 信号 的 表达 式 为 : 

SAM(D=s(Dcosc1 

式 中 ，cosox 为 载波 ，s(D) 是 要 进行 调制 的 基带 信号 。 

2. 调频 

调频 是 一 种 使 高 频 载 波 的 频率 随 着 原始 模拟 数据 的 幅度 变化 而 变化 的 技术 。 因 此 ， 
载波 的 频率 在 整个 调制 过 程 中 波动 , 而 载波 的 幅度 是 相同 的 。 调频 调制 信号 的 表达 式 为 : 

Srv(1) = Acos[@t+ EE Ktm(n)dr] 


式 中 ， 奈 代表 调频 器 的 灵敏 度 ，mm(D 为 调制 信号 。 
3. 调 相 
调 相 是 一 种 使 高 频 载 波 的 相位 随 着 原始 模拟 数据 的 幅度 变化 而 变化 的 技术 。 载 波 的 
相位 在 整个 调制 过 程 中 变动 ， 而 载波 的 幅度 是 相同 的 。 调 相 调 制 信号 的 表达 式 为 : 
SpM(?) = Acos[@t + Kpm(i)] 
式 中 ，Kp 代 表 调 相 器 的 灵敏 度 ，m(n) 为 调制 信号 。 
1.2.3.5 ” 扩 频 通信 


为 了 提高 通信 系统 抗 干 扰 性 能 , 往往 需要 从 调制 和 编码 多 方面 入 手 , 改进 通信 质量 ， 
扩 频 通信 就 是 方法 之 一 。 由 于 扩 频 通信 利用 了 扩展 频谱 技术 ， 在 接收 端 对 干扰 频谱 能 量 
加 以 扩散 ， 对 信号 频谱 能 量 压缩 集中 ， 因 此 在 输出 端 就 得 到 了 信 噪 比 的 增益 。 

扩 频 通信 是 指 系统 占用 的 频带 宽度 远大 于 要 传输 的 原始 信号 的 带宽 (或 信息 比特 
率 )， 且 与 原始 信号 带宽 无 关 。 通 常规 定 : 如 果 信 息 带 宽 为 了 ， 扩 频 信号 带宽 为 ;， 则 扩 
频 信号 带宽 与 信息 带宽 之 比 .人 /B 称 为 扩 频 因子 。 

当 fyB=1~~2， 即 射频 信号 带宽 略 大 于 信息 带宽 时 ， 称 为 窄带 通信 ; 

当 f/B>50， 即 射频 信号 带宽 大 于 信息 带宽 时 ， 称 为 宽带 通信 ; 

当 /B>100， 即 射频 信号 带宽 远大 于 信息 带宽 时 ， 称 为 扩 频 通信 。 

扩 频 通信 系统 可 以 分 为 以 下 几 种 基本 形式 。 

1. 直接 序列 扩 频 (Direct Sequencing，DS) 

直接 序列 扩 频 方式 中 ， 要 传送 的 信息 经 伪 随 机 序列 编码 后 对 载波 进行 调制 。 在 发 送 
端 直接 用 扩 频 码 序列 去 扩展 信号 的 频谱 ， 在 接收 端 ， 用 相同 的 扩 频 码 序列 进行 解 扩 ， 将 
展 宽 的 频谱 扩展 信号 还 原 成 原始 信号 ， 如 图 1-18 和 图 1-19 所 示 。 因 为 伪 随 机 序列 的 速 
率 远大 于 要 传送 信息 的 速率 ,所 以 受 调 信号 的 频谱 宽度 将 远大 于 要 传送 信息 的 频谱 宽度 。 


28 网 络 规划 设计 师 教 程 


数据 源 编码 器 0 supd)_ 
ce 


mm 序列 射频 
发 生 器 振荡 器 


1-18 直接 序列 扩 频 系统 的 发 送 端 原理 图 


SW) | 射频 | ro | 基带 |vwD_ 数据 [dw 
滤波 器 滤波 器 “| 检测 器 
c(i?) 


频率 m 序列 
合成 器 发 生 器 


1-19 直接 序列 扩 频 系统 的 接收 端 原理 图 


2. 跳 频 (Frequency Hopping，FH) 
在 跳 频 方式 中 ， 载 波 信 息 的 信号 频率 受 伪 随 机 序列 的 控制 ， 快 速 地 在 一 个 频段 中 跳 
变 ， 此 跳 变 的 频段 范围 远大 于 要 传送 信息 所 占 的 频谱 宽度 ， 如 图 1-20 所 示 。 只 要 收 、 发 
信 双 方 保 证 时 - 频 域 上 的 调频 顺序 一 致 ， 就 能 确保 双方 的 可 靠 通信 。 在 每 一 个 跳 频 时 间 的 
瞬时 ， 用 户 所 占用 的 信道 带宽 是 窄带 频谱 ， 随 着 时 间 的 变换 ， 一 系列 的 瞬时 窄带 频谱 在 
一 个 很 宽 的 频带 内 跳 变 ， 形 成 一 个 很 宽 的 调频 带宽 。 
| | | |— 


| | 


频率 | | 伪 噪声 
el 合成 器 发 生 器 


发 送 方 接收 方 
1-20” 跳 频 系统 原理 图 


3. 跳 时 (Time Hopping, TH) 

在 跳 时 方式 中 ， 把 每 个 信息 码 元 划分 成 若干 个 时 隙 ， 此 信息 受 伪 随 机 序列 的 控制 ， 
以 突 发 的 方式 随机 地 占用 其 中 一 个 时 隙 进行 传输 。 因 为 信号 在 时 域 中 压缩 其 传输 时 间 
相应 地 在 频 域 中 要 扩展 其 频谱 宽度 。 

4. 线性 调频 扩 频 

线性 调频 扩 频 是 指 在 给 定 脉 冲 持 续 间 隔 内 , 系统 的 载 频 线 性 地 扫 过 一 个 很 宽 的 频带 。 
因为 频率 在 较 宽 的 频带 内 变化 ， 所 以 信号 的 带宽 被 展 宽 。 
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1.2.4 多 路 复 用 技术 


在 点 对 点 通信 方式 中 ， 两 点 间 的 通信 线路 是 专用 的 ， 其 利用 率 很 低 ， 一 种 提高 线路 
利用 率 的 卓有成效 的 方法 是 使 多 个 数据 源 合用 一 条 传输 线 ， 这 就 是 多 路 复 用 技术 。 多 路 
复 用 系统 将 来 自若 干 信息 源 的 信息 进行 合并 ， 然 后 将 这 一 合成 的 信息 群 经 单一 的 线路 和 
传输 设备 进行 传输 ， 在 接收 方 ， 则 设 有 能 将 信息 群 分 离 成 各 个 单独 信息 的 设备 。 

多 路 复 用 的 形式 有 时 分 多 路 复 用 、 频 分 多 路 复 用 、 波 分 多 路 复 用 等 。 


1.2.4.1 ”时 分 多 路 复 用 

时 分 多 路 复 用 (Time-Division Multiplexing，TDM) 方法 ， 其 信号 分 割 的 参量 是 信 
号 占用 的 时 间 ， 故 要 使 复 用 的 各 路 信号 在 时 间 上 互 不 重合 ， 在 传输 时 把 时 间 分 成 小 的 时 
隙 ， 每 一 时 隙 由 复 用 的 一 个 信号 占用 。 如 图 1-21 所 示 的 情况 ，4 个 用 户 A，B，C 和 了 D 
进行 时 分 多 路 复 用 ,4 个 时 阶 构 成 一 个 时 分 复 用 帧 ,每 一 个 时 分 复 用 的 用 户 在 每 一 个 TDM 
帧 中 占用 固定 序号 的 时 隙 ， 每 个 用 户 所 占用 的 时 隙 是 周期 性 地 出 现 。 显 然 ， 时 分 复 用 的 
所 有 用 户 在 不 同 的 时 间 占 用 同样 的 频带 带宽 。 


周期 性 出 现 


L 
ee 


图 1-21 时 分 复 用 技术 


在 进行 通信 时 ， 复 用 器 和 分 用 器 总 是 成 对 地 使 用 ， 在 复 用 器 和 分 用 器 之 间 是 用 户 
共享 的 高 速 信道 。 分 用 器 的 作用 正好 和 复 用 器 相反 ， 它 将 高 速 线路 传送 过 来 的 数据 进 
行 分 组 ， 分 别 送 到 相应 的 用 户 处 。 时 分 多 路 复 用 的 通信 模型 如 图 1-22 所 示 ， 为 保证 发 
送 法 和 接收 方 两 端正 常 通信 ， 两 端的 旋转 开关 S1 和 S2 的 起 始 位 置 和 旋转 速度 要 完全 
相同 。 

当 使 用 时 分 复 用 系统 传送 计算 机 数据 时 ， 由 于 计算 机 数据 的 突 发 性 ， 一 个 用 户 对 
已 经 分 配 到 的 子 信道 的 利用 率 一 般 不 高 ， 因 为 当 用 户 在 某 一 段 时 间 暂 时 无 数据 传输 
时 ， 那 就 只 能 让 已 经 分 配 到 的 子 信道 空闲 ， 而 其 他 用 户 也 无 法 使 用 这 个 暂时 空闲 的 线 
路 资源 。 
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1-22 ”时 分 复 用 的 通信 模型 


1.2.4.2” 频 分 多 路 复 用 


频 分 多 路 复 用 (Frequency-Division Multiplexing，FDM) 主要 用 于 模拟 信号 。 多 路 
复 用 器 接受 来 自 多 个 源 的 模拟 信号 ， 每 个 信号 有 自己 独立 的 带宽 。 接 着 这 些 信号 被 组 合 
成 另 一 个 具有 更 大 带宽 更 加 复杂 的 信号 ， 产 生 的 信号 通过 某 种 媒体 被 传送 到 目的 地 ， 在 
那里 另 一 个 多 路 复 用 器 完成 分 解 工 作 ， 把 各 个 信号 单元 分 离 出 来 。 

频 分 多 路 复 用 的 方法 包含 几 个 步骤 。 首 先 ， 传 输 媒 体 的 可 用 带宽 被 划分 成 多 个 分 离 
的 信道 , 用 户 在 分 配 到 一 定 的 频带 后 , 在 通信 过 程 中 自始至终 都 占用 这 个 频带 , 如 图 1-23 
所 示 。 然 后 ， 为 每 个 信道 定义 一 个 载波 信号 ， 每 一 个 载波 信号 形成 了 一 个 子 信道 ， 各 条 
子 信 道 的 中 心 频率 不 相 重合 ， 子 信道 之 间 留 有 一 定 宽度 的 隔离 频带 。 接 着 ， 利 用 载波 信 
号 对 各 个 输入 信号 进行 调制 ， 从 而 产生 调制 信号 。 最 后 ， 所 有 调制 信号 被 结合 成 一 个 更 
加 复杂 的 单一 模拟 信号 并 传输 出 去 。 接 收 方 借助 于 带 通 滤波 器 把 各 个 独立 的 调制 信号 分 
离开 来 ， 并 根据 各 个 信道 的 频率 选择 恢复 出 原始 信号 。 


频率 频率 5 


Mi 


图 1-23” 频 分 复 用 技术 


频 分 多 路 复 用 早已 用 在 无 带 通 滤波 器 及 各 种 信道 的 频率 选择 无 线 电 广 播 系统 和 有 
线 电 视 系 统 (CATV) 中 。 一 根 CATV 电缆 的 带宽 大 约 是 500MHz， 可 传送 80 个 频道 的 
电视 节目 ， 每 个 频道 6MHz 的 带宽 中 又 进一步 划分 为 声音 子 通道 、 视 频 子 通道 以 及 彩色 
子 通道 。 每 个 频道 两 边 都 留 有 一 定 的 警戒 频带 ， 防 止 相互 串扰 。 


1.2.4.3 ” 波 分 多 路 复 用 
光纤 技术 的 应 用 使 得 数据 的 传输 速率 空前 提高 ， 目 前 一 根 单 模 光纤 的 传输 速率 可 达 
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到 2.5Gbps， 如 果 设 法 对 光纤 传输 中 的 色散 问题 加 以 解决 ， 则 一 根 光纤 的 传输 速率 可 达 
到 10Gbps, 但 这 几乎 己 到 了 单个 光 载 波 信号 传输 的 极限 值 。 使 用 一 根 光纤 来 同时 传输 多 
个 频率 很 接近 的 光 载 波 信号 ， 又 能 使 光纤 的 传输 能 力 成 倍 地 提高 。 由 于 光 载 波 的 频率 很 
高 ， 习 惯 上 用 波长 而 不 是 频率 来 表示 所 使 用 的 光 载 波 ， 所 以 波 分 多 路 复 用 (Wavelength- 
Division Multiplexing，WDM) 就 是 光 的 频 分 复 用 。 

在 一 根 光纤 上 进行 波 分 复 用 的 方法 很 简单 ， 如 图 1-24 所 示 ， 两 根 光 纤 连 到 一 个 棱柱 
或 衍射 光栅 上 ， 每 根 的 能 力 处 于 不 同 的 波段 ， 两 束 光 通过 棱柱 或 光栅 合成 到 一 根 共享 的 
光纤 上 ， 传 送 到 远方 的 目的 地 后 再 分 解 开 来 。 光 纤 系统 使 用 的 复 用 器 即 衍射 光栅 是 完全 
无 源 的 ， 因 此 极其 可 靠 。 


光纤 1 光纤 3 
共享 光纤 
光纤 2 光纤 4 


棱柱 或 衍射 光栅 棱柱 或 衍射 光栅 


图 1-24 波 分 多 路 复 用 


波 分 复 用 系统 主要 由 光 发 射 机 、 光 接收 机 、 光 放大 器 和 光纤 组 成 ， 如 图 1-25 所 示 。 
在 发 送 端 ， 首 先 通过 波长 转换 ， 将 传输 信号 标准 波长 转换 为 波 分 复 用 系统 使 用 的 系列 工 
作 波 长 ， 然 后 多 路 光 信 号 通过 光合 波 器 耦合 到 一 根 光 纤 上 , 经 BA 放大 后 在 光纤 上 传输 。 
传输 一 定 距离 后 光 信号 会 衰减 ， 设 置 光 纤 中 继 器 对 光 信 号 进行 放大 ， 为 了 对 不 同 波长 光 
信号 具有 相同 的 放大 增益 ， 采 用 掺 饵 光纤 放大 器 (EDFA )， 而 且 EDFA 不 需要 进行 光电 
转换 而 直接 对 光 信 号 进行 放大 。 当 光 信 号 到 达 接 收 端 后 ， 将 PA 放大 的 光 耦 合 信号 解 复 
用 为 多 路 光 信号 ， 然 后 通过 波长 转换 ， 将 每 路 的 光 信号 的 工作 波长 再 转换 为 标准 波长 。 

光 发 射 机 光 中 继 器 光 接收 机 


| | 光 接 收 器 1 
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1-25 ” 波 分 复 用 系统 的 组 成 


1.2.4.4 ”统计 时 分 多 路 复 用 
统计 时 分 多 路 复 用 (Statistic TDM，STDM) 是 一 种 改进 的 时 分 复 用 方法 ， 它 能 明显 
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地 提高 信道 的 利用 率 。 集 中 器 常 使 用 这 种 方法 。 

统计 时 分 多 路 复 用 使 用 STDM 帧 来 传送 复 用 的 数据 ， 但 每 一 个 STDM 帧 中 的 时 阶 
数 小 于 或 等 于 连接 在 集中 器 上 的 用 户 数 ， 如 图 1-26 所 示 ， 按 A，B，C，D 的 顺序 依次 
分 配 时 隙 。 各 用 户 有 了 数据 就 随时 发 往 集中 器 的 输入 缓存 ， 然 后 集中 器 按 顺 序 依次 扫描 
输入 缓存 ， 将 缓存 中 的 数据 放 入 STDM 帧 中 ， 对 没有 数据 的 缓存 就 跳 过 去 。 当 一 个 帧 的 
数据 放 满 了 , 就 发 送出 去 。 因此 STDM 帧 不 是 固定 分 配 时 隙 , 而 是 按 需 动态 地 分 配 时 隙 。 
由 于 用 户 所 占用 的 时 隙 并 不 是 周期 性 地 出 现 ， 所 以 在 每 个 时 隙 中 还 必须 有 用 户 的 地 址 信 
息 ， 这 是 统计 时 分 多 路 复 用 必须 要 有 的 和 不 可 避免 的 开销 。 

用 户 


A a a 
一 NAN 地 址 信息 
B b b b 


>. 
。 [Pa 外 外 合 困 司 司 阅 国 


D 而 | -7 Se 2 


4 个 STDM 帧 


图 1-26 统计 时 分 复 用 的 工作 原理 


1.2.5 数据 交换 方式 


1.2.5.1 ”线路 交换 


两 个 终端 开始 正式 通信 之 前 , 首先 由 主 呼 终端 进行 呼叫 , 送出 被 呼 终端 的 电话 号 码 ， 
直到 在 主 呼 和 被 呼 之 间 建立 起 一 条 专用 的 通信 线路 ， 主 呼 终端 和 被 呼 终端 才 开 始 进行 双 
向 数据 传输 ， 在 整个 数据 传输 期 间 一 直 独 占线 路 ， 通 信 结 束 后 释放 已 建立 的 通信 线路 ， 
这 种 技术 叫做 线路 交换 (circuit switching)， 主 要 用 于 电话 系统 。 所 谓 “ 交 换 ” 体 现在 交 
换 设备 内 部 。 当 交换 机 从 一 条 输入 线 接收 到 呼叫 请 求 时 ， 首 先 根据 被 呼叫 者 的 号 码 寻 找 
一 条 合适 的 空闲 输出 线 ， 然 后 通过 硬件 开关 将 二 者 连通 。 从 通信 资源 的 分 配角 度 来 看 ， 
“交换 ”就 是 按照 某 种 方式 动态 地 分 配 传输 线路 的 资源 。 

线路 交换 技术 有 两 大 优点 。 第 一 个 是 传输 延迟 小 ， 唯 一 的 延迟 是 电磁 信号 的 传播 时 
间 ; 第 二 个 是 一 旦 线路 接 通 ， 便 不 会 产生 冲突 ， 因 为 通信 双方 独 享 物理 线路 。 

线路 交换 技术 也 有 两 个 缺点 。 第 一 个 是 建立 线路 所 需 的 时 间 很 长 ， 在 数据 传输 开始 
前 ， 呼 叫 信号 必须 经 过 若干 个 中 间 交 换 机 。 另 一 个 是 由 于 线路 独 享 造成 资源 浪费 ， 因 为 
线路 一 旦 被 建立 起 来 ， 即 便 空 闲 也 不 能 被 其 他 用 户 所 用 。 
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1.2.S.2” 报 文 交换 


发 送 方 待 发 送 的 整个 数据 块 称 为 报 文 (message)。 报 文 交 换 事 先 不 建立 线路 ， 当 发 
送 方 有 数据 块 要 发 送 时 ， 它 把 目的 地 址 附加 在 报 文 上 交 给 交换 设备 ， 交 换 设备 选择 一 条 
合适 的 空闲 输出 线 ， 将 报 文通 过 该 输出 线 传送 出 去 。 在 这 个 过 程 中 ， 交 换 设备 的 输入 线 
和 输出 线 之 间 不 建立 物理 连接 ， 在 每 个 交换 设备 处 ， 报 文 首先 被 存储 起 来 ， 在 适当 的 时 
候 被 转发 出 去 ， 所 以 报 文 交换 采用 的 是 存储 转发 技术 ， 动 态 分 配 线路 ， 使 得 线路 能 够 共 
享 ， 提 高 了 资源 的 利用 率 。 

但 是 ， 报 文 交换 对 传输 数据 块 的 大 小 没有 限制 ， 当 传输 大 报 文 时 ， 交 换 设 备 必 须 利 
用 大 容量 磁盘 进行 缓存 ， 而 且 可 能 占用 一 个 交换 设备 到 另 一 个 交换 设备 的 线路 长 达 几 分 
钟 ， 因 此 报 文 交换 不 适合 交互 式 通信 。 


1.2.5.3 ”分 组 交换 


为 了 解决 报 文 交换 大 报 文 传输 的 问题 ， 分 组 交换 技术 严格 限制 数据 块 大 小 的 上 限 ， 
把 大 报 文 切 分 成 更 小 的 数据 单位 ， 加 上 一 些 必要 的 控制 信息 组 成 的 首部 后 ， 就 构成 了 分 
组 (packet)， 使 分 组 可 以 在 交换 设备 的 内 存 中 缓存 ， 同 时 保证 任何 用 户 都 不 能 独占 线路 
超过 几 十 毫秒 。 

现代 网 络 绝 大 多 数 采 用 分 组 交换 技术 。 分 组 交换 网 由 若干 个 交换 机 和 连接 这 些 交 换 
机 的 链 路 组 成 ， 每 台 主 机 都 有 一 条 到 交换 机 的 链 路 ， 交 换 机 的 主要 工作 就 是 在 它 的 一 条 
链 路 上 接收 输入 分 组 ， 把 这 些 分 组 从 其 他 的 链 路 上 输出 。 

根据 内 部 机 制 的 不 同 ， 分 组 交换 技术 又 分 为 数据 报 〈datagram) 和 虚 电 路 〈virtual 
circuit) 两 种 方式 。 

1. 数据 报 

在 数据 报 方 式 中 ， 每 个 分 组 的 首部 都 带 有 完整 的 目的 地 址 ， 交 换 机 根据 转发 表 转发 
分 组 。 

如 图 1-27 所 示 的 例子 ， 假 定 主机 A 和 主机 B 分 别 要 向 主机 E 和 主机 下 发 送 分 组 。 
主机 A 先 将 分 组 逐个 地 发 往 与 它 直接 相连 的 交换 机 1, 交换 机 1 将 主机 A 发 来 的 分 组 组 
存 ， 然 后 查找 自己 的 转发 表 ， 不 同时 刻 转发 表 的 内 容 可 能 不 相同 ， 因 此 有 的 分 组 转发 给 
交换 机 2， 有 的 分 组 转发 给 交换 机 3。 当 分 组 正在 链 路 交换 机 1- 交 换 机 2 和 链 路 交换 机 
1- 交 换 机 3 上 传送 时 ， 分 组 并 不 占有 网 络 其 他 部 分 的 资源 。 接 着 交换 机 2 和 交换 机 3 将 
分 组 转发 给 交换 机 5, 最 后 交换 机 5 将 分 组 直接 转发 给 主机 E。 因 为 采用 存储 -转发 技术 ， 
资源 是 共享 的 ， 所 以 主机 A 在 发 送 分 组 时 ， 主 机 B 也 可 同时 发 送 分 组 给 下 。 

通过 上 面 的 例子 ， 可 以 看 出 数据 报 方式 具有 如 下 特点 : 

(1) 在 具有 多 个 分 组 的 报 文 中 ， 交 换 机 尚未 接收 完 第 二 个 分 组 ， 已 经 收 到 的 第 一 个 
分 组 就 可 以 转发 出 去 ， 不 仅 减 小 了 延迟 ， 而 且 提 高 了 吞吐 量 。 
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图 1-27 数据 报 方式 转发 分 组 


(2) 资源 利用 率 高 。 

(3) 发 送 分 组 前 不 需要 建立 连接 。 

(4) 具有 元 余 路 径 ， 当 一 台 交 换 机 或 一 段 链 路 故障 时 ， 可 相应 地 更 新 转发 表 ， 寻 找 
到 另 一 条 替代 路 径 转 发 分 组 ， 对 故障 适应 力 强 。 

(5) 每 个 分 组 都 独立 处 理 ， 转 发 的 路 径 可 能 不 同 ， 因 此 不 一 定 按 序 到 达 接 收 方 。 

(6) 分 组 在 各 交换 机 进行 存储 转发 时 需要 排队 ， 这 会 造成 一 定 的 时 延 。 

2. 虚 电 路 

虚 电 路 方式 要 求 在 发 送 数据 之 前 ， 在 源 主 机 和 目的 主机 之 间 建 立 一 条 虚 连 接 。 在 建 
立 连 接 阶段 ， 需 要 在 源 主 机 和 目的 主机 之 间 的 每 一 个 交换 机 上 建立 “连接 状态 ” 连接 状 
态 由 连接 经 过 的 每 个 交换 机 中 的 “VC 表 ” 记 录 组 成 。 在 一 个 交换 机 上 的 VC 表 中 一 条 
记录 包括 : 

。 虚 电 路 标识 符 (Virtual Circuit Identifier，VCI)， 在 这 个 交换 机 上 唯一 标识 连接 ， 

并 且 将 放 在 属于 这 个 连接 的 分 组 首部 内 传送 。 

。 由 这 个 VC 到 达 交 换 机 的 分 组 的 输入 接口 。 

。 从 这 个 VC 离开 交换 机 的 分 组 的 输出 接口 。 

。 用 于 输出 分 组 的 一 个 不 能 不 同 的 VCI。 

在 建立 一 个 新 连接 时 ， 要 在 连接 所 要 经 过 的 每 段 链 路 上 分 配 一 个 VCI 值 ， 并 确保 在 
一 段 链 路 上 选 定 的 VCI 值 未 被 该 链 路 上 已 经 存在 的 某 个 连接 使 用 。 连接 状态 的 建立 有 两 
类 方法 。 一 类 是 由 网 络 管理 员 配 置 连接 状态 ， 这 样 的 虚 电 路 是 永久 虚 电路 〈Permanent 
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Virtual Circuit，PVC)， 它 最 好 被 看 作 长 期 生存 的 或 可 管理 配置 的 VC， 当 然 ， 管 理 员 也 
可 以 删除 PVC。 另 一 类 是 主机 发 送 消 息 给 网 络 建立 连接 状态 ， 这 样 建立 的 虚 电 路 称 为 交 
换 虚 电路 (switched virtual circuit)， 它 可 由 主机 动态 的 建立 和 删除 。 

如 图 1-28 所 示 的 一 个 例子 ， 链 路 上 的 数字 代表 接口 号 ， 分 组 首部 的 数字 为 VCI。 现 
在 主机 A 要 向 主机 B 发 送 数据 , 在 建立 连接 阶段 ， 假 设 三 个 交换 机 的 VC 表 增 加 的 记录 
如 表 1-4 所 示 。 


交换 机 1 


图 1-28 虚 电 路 方式 转发 分 组 


表 1-4 VC 表 增 加 的 记录 


| 输 和 接口 | 输入 VCI | 输 H 接 口 | 
交换 机 1 和 和 i 输出 接口 人 
区 扩 机 RE 


一 旦 VC 表 被 建立 ， 就 可 以 进入 数据 传输 阶段 。 对 于 每 一 个 要 发 往 主机 B 的 分 组 ， 
主机 A 将 值 为 5 的 VCI 放 入 分 组 首部 并 发 送 给 交换 机 1。 如 果 分 组 在 指定 的 输入 接口 到 
达 并 且 首 部 包含 指定 的 VCI 值 , 那么 交换 机 先 将 这 个 分 组 的 首部 VCI 蔡 换 成 指定 的 输出 
VCI 并 将 分 组 发 送 到 指定 的 输出 端口 。 交 换 机 1 在 接口 2 上 接收 到 VCI 为 5 的 分 组 后 ， 
查询 VC 表 ， 接 着 将 VCI 修改 为 11， 最 后 从 接口 0 输出 ， 这 样 分 组 从 接口 3 到 达 了 交换 
机 2。 此 过 程 继续 ， 直 到 分 组 携带 VCI 为 7 到 达 主 机 B， 主 机 B 由 此 识别 这 个 分 组 来 自 
主机 A。 

通过 上 面 的 例子 ， 可 以 看 出 数据 报 方式 具有 如 下 特点 : 
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(1) 用 户 间 通 信 必 须 建立 连接 ， 数 据 传输 过 程 中 再 不 需 寻 找 路 径 ， 相 对 数据 报 方式 
时 延 相对 较 小 。 

(2) 通常 分 组 走 同样 的 路 径 ， 所 以 按 序 到 达 接 收 方 。 

(3) 资源 利用 率 高 。 

(4) 分 组 首部 并 不 包含 目的 地 址 而 是 VCI， 相 对 数据 报 方式 开销 较 小 。 

(5) 如 果 一 个 连接 上 有 交换 机 或 链 路 出 现 故障 ， 连 接 就 会 破坏 ， 必 须 建立 一 个 新 的 
连接 ， 同 时 需要 撤销 原来 的 连接 ， 释 放 交 换 机 中 虚 电 路 表 的 存储 空间 。 

〈6) 在 发 送 第 一 个 分 组 前 有 一 定 的 延迟 。 


1.2.5.4 ”信和 元 交换 


信 元 交换 是 异步 传输 模式 Asynchronous Transfer Mode，ATM) 采用 的 交换 方式 ， 
在 很 大 程度 上 就 是 按照 虚 电 路 方式 进行 分 组 转发 。 在 ATM 网 络 中 与 众 不 同 的 一 点 是 ， 
分 组 长 度 是 固定 不 变 的 ， 称 为 信 元 〈cell)。 信 元 长 度 为 53 字 节 ，5 字 节 的 首部 ，48 字 节 
的 有 效 载荷 ， 其 结构 如 图 1-29 所 示 。ATM 信 元 有 两 种 不 同 的 首部 ， 分 别 对 应 于 用 户 到 
网 络 接口 (User-to-Network Interface，UNI) 和 网 络 到 网 络 接口 〈Network-to-Network 
Interface，NNI)。 


ATM 信 元 一 一 
a | 48 | 
首部 有 效 载荷 
人 GEC | ver | VCI | PT | cr Hec | 
4 8 16 3 1 8 
人 VPI | VCI | Pr | crp HEc | 
12 16 3 1 8 
图 1-29 ATM 信 元 结构 
AIM 信 元 首部 中 各 字段 的 作用 如 下 : 


(1) 通用 流量 控制 (Generic Flow Control，GFC)。GFC 用 来 在 共享 媒体 上 进行 接 入 
流量 控制 ， 现 在 未 用 ， 通 常 置 为 0。 

(2) 虚 通 道 标识 符 VPI/ 虚 通路 标识 符 VCI。 一 个 虚 通 路 (Virtual Channel，VC) 是 
在 两 个 或 两 个 以 上 的 端点 之 间 的 一 个 传送 ATM 信 元 的 通信 通路 ， 一 个 虚 通 道 (Virtual 
Path，VP) 包含 有 许多 相同 端点 的 虚 通 路 ， 而 这 许多 复 用 在 一 条 链 路 上 的 虚 通 路 都 使 用 
同一 个 虚 通 道 标 识 符 (Virtual Path Identifier，VPI)， 复 用 在 一 个 VP 中 的 不 同 虚 通 路 用 
它们 的 虚 通 路 标识 符 (Virtual Channel Identifier，VCI) 来 识别 。 图 1-30 表示 了 使 用 VPI 
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和 VCI 标 识 VP 和 VC 的 方法 。 


传输 链 路 


虚 通 路 VCx 
虚 通 路 vcy 


图 1-30 ”ATM 连接 的 标识 符 VCI 和 VPI 


(3) 有 效 载 荷 类 型 (Payload Type，PT)。PT 用 来 区 分 该 信 元 是 用 户 信 息 还 是 非 用 
户 信 息 。 

(4) 信和 元 丢失 优先 级 (Cell Loss Priority，CLP)。CLP 指示 信 元 的 丢失 优先 级 ， 当 
网 络 负荷 很 重 时 ，ATM 交换 机 首先 丢弃 CLP=1 的 信 元 以 缓解 网 络 可 能 出 现 的 拥塞 。 

(5) 首部 差错 控制 (Header Error Control，HEC)。HEC 只 对 首部 的 前 4 个 字 节 进行 
循环 元 余 校 验 。 


1.2.5.5 广播 


所 谓 广播 ， 指 同时 向 网 上 所 有 主机 发 送 报 文 ， 是 一 种 特殊 的 交换 方式 。 许 多 物理 网 
络 本 身 便 是 广播 型 的 ， 广 播 型 的 网 络 用 一 个 传输 介质 将 所 有 主机 连接 起 来 ， 比 如 总 线 型 
网 络 和 以 微波 、 卫 星 方式 传播 的 网 络 。 也 有 许多 网 络 是 点 到 点 型 的 ， 这 种 网 络 的 广播 必 
须 由 软件 实现 ， 比 如 采用 扩散 的 方式 ， 把 收 到 的 分 组 ， 从 除了 分 组 到 来 的 端口 外 的 所 有 
输出 端口 上 发 出 。 


1.2.6 ”传输 介质 


传输 介质 是 数据 传输 系统 中 在 发 送 设备 和 接收 设备 之 间 的 物理 通路 ， 也 称 为 传输 媒 
体 ， 可 分 为 导向 传输 介质 和 非 导向 传输 介质 两 类 。 在 导向 传输 介质 中 ， 电 磁 波 或 光波 被 
导向 沿 着 固体 媒体 传播 ， 其 包括 双 绞 线 、 同 轴 电 缆 、 光 纤 等 ， 而 非 导向 传输 介质 就 是 指 
自由 空间 ， 其 传输 方式 包括 微波 、 无 线 电 、 红 外 线 等 。 


1.2.6.1 双 绞 线 
把 两 根 互 相 绝 缘 的 铜 导 线 并 排放 在 一 起 ， 然 后 用 规则 的 方法 绞 合 起 来 就 构成 了 双 绞 


线 。 绞 合 可 减少 对 相 邻 导线 的 电磁 干扰 。 为 了 提高 双 绞 线 的 抗 电磁 干扰 的 能 力 ， 可 以 在 
双 绞 线 的 外 面 再 加 上 一 个 用 金属 丝 编织 成 的 屏蔽 层 , 这 就 是 屏蔽 双 绞 线 (Shielded Twisted 
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Pair，STP)， 无 屏蔽 层 的 双 绞 线 就 称 为 非 屏蔽 双 绞 线 (Unshielded Twisted Pair，UTP)， 
它们 的 结构 如 图 1-31 所 示 。 


一 一 
| 也 加 
NE 
聚 氨 乙 燃 套 层 绝缘 层 钢 线 聚 氮 乙 燃 套 层 。” 屏 项 层 。 ”绝缘 层 。 。 多 线 
韭 屏蔽 双 绞 线 屏蔽 双 绞 线 


图 1-31 双 绞 线 的 结构 


1991 年 ， 美 国电 子 工业 协会 EIA 和 电信 工业 协议 TIA 联合 发 布 了 一 个 标准 
EIA/TIA-568, 这 个 标准 规定 用 于 室内 传送 数据 的 非 屏 蔽 双 绞 线 和 屏蔽 双 绞 线 的 标准 。 随 
着 局 域 网 上 数据 传送 速率 的 不 断 提 高 ，EIA/TIA 在 1995 年 将 布线 标准 更 新 为 EIA/TIA- 
568-A， 此 标准 规定 了 从 1 类 线 到 5 类 线 的 5 个 种 类 的 UTP 标准 ， 其 中 3 类 线 和 5 类 线 
用 于 计算 机 网 络 。3 类 线 由 两 条 轻 轻 拧 在 一 起 的 线 构成 ， 一 般 在 塑料 外 壳 内 有 4 对 这 样 
的 线 ， 如 图 1-32 所 示 。5 类 线 和 3 类 线 相似 ,但 拧 得 更 密 ， 并 以 特 富 龙 材料 绝缘 ， 交 互 
感应 少 ， 更 适用 于 高 速 计算 机 通信 。 


图 1-32 4 对 线 的 非 屏蔽 双 绞 线 


模拟 传输 和 数字 传输 都 可 以 使 用 双 绞 线 ， 其 通信 距离 一 般 为 几 到 十 几 公里 。 距 离 太 
长 时 ， 对 于 模拟 传输 要 加 放大 器 以 便 将 衰减 的 信号 放大 到 合适 的 数值 ， 对 于 数字 传输 则 
要 加 中 继 器 以 便 将 失真 的 数字 信号 进行 整形 。 由 于 双 绞 线 的 价格 便宜 且 性 能 也 不 错 ， 使 
期 证 分 广泛 。 
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1.2.6.2 ” 同 轴 电线 


同 轴 电 缆 由 内 导体 铜 质 芯 线 、 绝 缘 层 、 网 状 编织 的 外 导体 屏蔽 层 以 及 保护 塑料 外 层 
所 组 成 ， 如 图 1-33 所 示 。 由 于 外 导体 屏蔽 层 的 作用 ， 同 轴 电 缆 具 有 很 好 的 抗 干扰 特性 ， 
广泛 用 于 传输 较 高 速率 的 数据 。 


绝缘 保护 套 层 


图 1-33 同 轴 电 缆 的 结构 


当 需 要 将 计算 机 连接 到 同 轴 电 绕 上 的 某 处 时 ， 比 用 双 绞 线 要 麻烦 得 多 ， 通 常 使 用 T 
型 分 接头 。T 型 分 接头 主要 有 两 种 ， 一 种 必须 先 把 电缆 剪断 ， 然 后 进行 连接 ， 另 一 种 则 
不 必 剪 断 电缆 ， 使 用 较 昂贵 的 、 特 制 的 插入 式 分 接头 ， 利 用 螺丝 分 别 将 两 根 电线 的 内 外 
导线 连接 好 。 

通常 按 特性 阻抗 数值 的 不 同 ， 将 同 轴 电线 分 为 两 类 。 

1.50Q 同 轴 电 缆 

50Q 同 轴 电 绕 主要 用 于 在 数据 通信 中 传送 基带 数字 信号 ， 又 称 为 基带 同 轴 电 线 ， 在 
局 域 网 中 得 到 广泛 应 用 。 用 这 种 同 轴 电 线 以 10Mbps 的 速率 可 将 基带 信号 传送 1km。 

在 传输 基带 数字 信号 时 ， 可 以 使 用 曼彻斯特 编码 和 差分 曼彻斯特 编码 解决 同步 
问题 。 

2. 7SQ 同 轴 电 缆 

75Q 同 轴 电 缆 主 要 用 于 模拟 传输 系统 , 是 有 线 电视 系统 (CATV ) 中 的 标准 传输 电缆 。 
在 这 种 电缆 上 传送 的 信号 采用 了 频 分 复 用 的 宽带 信号 ， 因 此 75Q 同 轴 电 缆 又 称 为 宽带 同 
轴 电 缆 。 宽 带 同 轴 电 缆 用 于 传输 模拟 信号 时 ， 其 频率 可 高 达 500MHz 以 上 ， 传 输 距离 可 
达 100km。 但 在 传送 数字 信号 时 ， 需 要 在 接口 处 安装 一 个 电子 设备 ， 用 以 把 进入 网 络 的 
数字 比特 流转 换 为 模拟 信号 ， 把 网 络 输出 的 模拟 信号 转换 成 比特 流 。 

由 于 在 宽带 系统 中 要 用 到 放大 器 来 放大 模拟 信号 ， 而 放大 器 仅 能 单 向 传输 信号 ， 
此 在 宽带 电缆 的 双 工 传输 中 ， 一 定 要 有 数据 发 送 和 数据 接收 两 条 分 开 的 数据 通路 。 


1.2.6.3 光纤 


光纤 就 是 能 导 光 的 玻璃 纤维 ， 利 用 光纤 传递 光 脉 冲 进行 通信 就 是 光纤 通信 ， 有 光 脉 
冲 表 示 比 特 1， 无 光 脉冲 表示 比特 0。 光 纤 具 有 如 下 显著 特点 : 
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(1) 光纤 直径 很 小 ， 只 有 0.1mm 左右 ， 因 而 重量 轻 。 

(2) 传输 损耗 小 ， 中 继 距离 长 ， 对 远 距离 传输 特别 经 济 。 

(3) 由 于 可 见 光 的 频率 非常 高 ， 约 为 10*MHz 的 数量 级 ， 因 此 一 个 光纤 通信 系统 的 
传输 带宽 远 远 大 于 目前 其 他 各 种 传输 介质 的 带宽 。 

(4) 不 受 电磁 干扰 、 防 腐 和 不 会 锈蚀 。 

(5) 不 怕 高 温 ， 防 爆 、 防 火 性 能 强 。 

(6) 无 串 音 干扰 ， 保 密 性 好 。 

(7) 光纤 的 主要 缺点 是 将 两 根 光纤 精确 地 连接 需要 专用 设备 。 

光纤 按 传输 方式 可 分 为 多 模 光 纤 和 单 模 光 纤 。 

1. 多 模 光 纤 

多 模 光 纤 是 利用 光 的 全 反射 特性 来 导 光 的 。 若 光 从 光 密 媒质 射 向 光 朴 媒质 ， 则 折射 
角 大 于 入 射 角 。 如 果 不 断 增 大 入 射 角 可 使 折射 角 达 到 90"， 这 时 的 入 射 角 称 为 临界 角 。 
如 果 继 续 增 大 入 射 角 ， 则 折射 角 会 大 于 临界 角 ， 使 光线 全 部 返回 光 密 媒质 中 ， 这 种 现象 
称 为 光 的 全 反射 。 根 据 这 一 原理 ， 光 纤 主 要 由 纤 芯 和 包 层 构成 ， 纤 芯 的 折射 率 高 ， 包 层 
的 折射 率 低 ， 如 图 1-34 所 示 。 


包 层 (折射 率 低 ) 


纤 芯 (折射 率 高 ) 


图 1-34 光纤 的 结构 


多 模 光 纤 的 光源 为 发 光 二 极 管 ， 发 出 的 可 见 光 定向 性 较 差 ， 光 以 不 同 的 角度 进入 纤 
芯 。 实 际 上 ， 只 要 从 纤 蕊 中 射 到 纤 芯 表面 的 光线 的 入 射 角 大 于 某 一 个 临界 角 ， 就 可 产生 
全 反射 因此， 存在 许多 条 不 同 角度 入 射 的 光线 在 一 条 光纤 中 传输 ， 如 图 1-35 所 示 。 光 
脉冲 在 多 模 光 纤 中 传输 时 会 逐渐 展 宽 ， 造 成 失真 ， 因 此 多 模 光 纤 只 适合 于 近 距 离 传输 。 

为 了 克服 多 模 光 纤 的 缺点 ， 出 现 了 梯度 型 多 模 光 纤 。 根 据 经 过 媒体 的 光 密 越 小 ， 光 
传播 越 快 的 特性 ， 梯 度 型 多 模 光 纤纤 芯 的 折射 率 从 中 间 往 边缘 逐渐 变 小 ， 光 在 其 中 传输 
的 路 径 变 成 了 曲线 ， 如 图 1-36 所 示 。 
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输入 脉冲 输出 脉冲 


图 1-35 多 模 光 纤 


图 1-36 梯度 型 多 模 光 纤 


2. 单 模 光纤 

如 果 光 纤 的 直径 减 小 到 只 有 一 个 光 的 波长 大 小 ， 则 光纤 就 像 一 根 波导 那样 ， 它 可 使 
光线 沿 直线 传播 ， 而 不 会 产生 多 次 反射 。 单 模 光 纤 就 是 按 这 样 的 原理 制 成 的 ， 如 图 1-37 
所 示 。 单 模 光 纤 的 纤 芯 很 细 ， 直 径 只 有 几 微 米 ， 制 造成 本 较 高 。 同 时 ， 单 模 光 纤 的 光源 
使 用 定向 型 很 好 的 激光 二 极 管 。 因 此 ， 单 模 光 纤 的 损耗 较 小 ， 传 输 距离 远 。 


输入 脉冲 输出 脉冲 


VW \ 


光纤 有 三 种 连接 方式 。 首 先 ， 可 以 将 它们 接 入 连接 头 并 插入 光纤 插座 ， 其 次 ， 将 两 
根 切割 好 的 光纤 的 一 端 放 在 一 个 套 管 中 ， 然 后 钳 起 来 ， 让 光纤 通过 结合 处 来 调整 ; 第 三 ， 
两 根 光纤 可 以 被 融合 在 一 起 形成 坚实 的 连接 。 

由 于 光纤 很 细 ， 连 包 层 一 起 的 直径 也 不 到 0.2mm， 因 此 必须 将 光纤 做 成 很 结实 的 光 
缆 。 一 根 光缆 少 则 只 有 一 根 光纤 ， 多 则 可 包括 数 十 至 数 百 根 光纤 ， 再 加 上 加 强 元 件 和 填 
充 物 就 可 以 大 大 提高 其 机 械 强 度 ， 最 后 加 上 包 带 层 和 外 护 套 ， 就 可 以 使 抗 拉 强 度 达到 几 


图 1-37 单 模 光纤 
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公斤 ， 完 全 可 以 满足 工程 施工 的 强度 要 求 。 
1.2.6.4 ”陆地 微波 


微波 是 指 频 率 在 0.3GHz 一 300GHz 范围 的 电磁 波 ， 陆 地 微波 通信 就 是 利用 此 频段 的 
电磁 波 来 传递 信息 ， 目 前 主要 是 使 用 2GHz 一 40GHz 的 频率 范围 。 

陆地 微波 系统 的 主要 用 途 是 完成 远 距 离 远 程 通信 服务 和 楼 宇 间 建立 短 距 离 的 点 对 
点 通信 。 与 其 他 传输 介质 相 比 ， 微 波 具 有 如 下 特点 : 

(1) 微波 波长 短 ， 接 近 于 光波 ， 在 空间 主要 是 直线 传播 ， 而 地 球 表面 是 个 曲面 ， 微 
波 会 穿 透 电 离 层 而 进入 宇宙 空间 ， 因 此 传播 距离 受到 限制 ， 必 须 设立 中 继 站 增 大 传输 
距离 。 

(2) 微波 频率 高 ， 频 段 范围 也 很 宽 ， 因 此 通信 信道 的 容量 大 。 

(3) 因为 工业 干扰 和 天 电 干 扰 的 主要 频谱 成 分 比 微波 频率 低 得 多 ， 因 而 微波 传输 质 
量 较 高 。 

(4) 由 于 波长 短 ， 天 线 尺寸 可 做 得 很 小 ， 通 常 做 成 面 式 天 线 ， 增 益 高 ， 方 向 性 强 。 

(5) 与 相同 容量 和 长 度 的 电线 载波 通信 比较 ， 微 波 接力 通信 建设 投资 少 ， 见 效 快 。 

(6) 微波 无 法 穿 透 障碍 物 ， 因 此 相 邻 微 波 站 之 间 必 须 直 视 ， 距 离 不 会 太 远 ， 一 般 
为 50km。 

(7) 微波 的 损耗 与 距离 和 波长 有 关 ， 可 由 下 式 表 达 : 


z=lolg| | aB 


其 中 4 是 天 线 间 的 距离 ，4 是 波长 。 

(8) 微波 在 空间 会 发 散 ， 某 些微 波 可 能 被 较 低 的 大 气 层 或 障碍 物 折射 ， 从 而 比 直线 
传播 的 微波 多 走 一 段 距离 ， 产 生 多 路 衰减 。 

(9) 微波 的 传播 有 时 会 受到 恶劣 气候 的 影响 。 


1.2.6.5 ”卫星 微波 


卫星 微波 是 陆地 微波 的 发 展 ， 利 用 人 造 地 球 卫星 作为 中 继 站 ， 转 发 微波 信号 ， 在 多 
个 微波 站 或 称 地 球 站 之 间 进 行 信息 交流 。 卫 星 微波 通信 已 经 广泛 用 于 长 途 电话 通信 、 蜂 
窝 电 话 、 电 视 传播 和 其 他 应 用 。 

卫星 从 上 行 链 路 接收 传输 来 的 信号 ， 将 其 放大 或 再 生 ， 再 从 下 行 链 路 上 发 送 。 但 是 
卫星 必须 在 空中 移动 ， 卫 星 落下 水 平 线 后 ， 通 信 就 必须 停止 ， 一 直到 它 重新 在 另 一 个 水 
平 线 上 出 现 。 采 用 同步 卫星 能 保证 持续 的 进行 传输 ， 因 为 同步 卫星 与 地 球 保持 固定 的 位 
置 ， 它 位 于 赤道 轨道 ， 离 地 面 35 784km。 三 颗 相隔 120* 的 同步 卫星 几乎 能 覆盖 整个 地 球 
表面 ， 基 本 实现 全 球 通信 。 

卫星 微波 与 陆地 微波 相 比 ， 具 有 以 下 特点 : 
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(1) 卫星 通信 的 距离 远 ， 且 通信 费用 与 通信 距离 无 关 。 
(2) 卫星 微波 具有 广播 性 质 。 
(3) 卫星 信道 的 传播 时 延 较 大 。 


1.2.6.6 无线电 


无 线 电波 很 容易 产生 ， 可 以 传播 很 远 ， 容 易 穿 过 建筑 物 ， 可 以 被 电离 层 反 射 ， 因 此 
被 广泛 用 于 通信 ， 不 管 是 室内 还 是 室外 。 无 线 电波 同时 还 是 全 方向 传播 的 ， 因 此 发 射 和 
接收 装置 不 必 在 物理 上 很 准确 的 对 准 。 

无 线 电波 的 特性 与 频率 有 关 。 在 较 低频 率 上 ， 无 线 电波 能 轻易 地 通过 障碍 物 ， 但 是 
能 量 随 着 与 信号 源 距离 的 增 大 而 急剧 减 小 。 在 高 频 上 ， 无 线 电 波 趋 于 直线 传播 并 受 障碍 
物 的 阻挡 ， 还 会 被 雨水 吸收 。 在 所 有 频率 上 ， 无 线 电波 易 受 发 送 机 和 其 他 电子 设备 的 
干扰 。 

由 于 无 线 电 波 能 传 得 很 远 ， 用 户 间 的 相互 串扰 就 是 个 大 问题 ， 所 以 ， 所 有 的 政府 都 
控制 对 用 户 使 用 发 射 器 的 授权 。 


1.2.6.7 红外线 


红外 线 的 主要 特点 是 不 能 穿 透 坚实 的 物体 ， 这 意味 着 一 间 房 屋 里 的 红外 系统 不 会 对 
其 他 房间 里 的 系统 产生 干扰 ， 而 其 放 和 窃听 的 安全 性 要 比 无 线 电 系统 好 。 所 以 使 用 红外 系 
统 不 需要 政府 授权 。 

红外 通信 使 用 调制 非 相干 红外 线 光 的 收发 机 进行 ， 收 发 机 互相 置 于 视线 内 对 准 ， 直 
接 或 经 房间 天 花 板 的 浅 色 表面 的 反射 传递 信息 ， 被 广泛 用 于 短 距离 通信 。 电 视 、 录 像 机 
使 用 的 遥控 装置 都 利用 了 红外 线装 置 。 红 外 线 具 有 方向 性 、 便 宜 并 且 容 易 制 造 ， 也 成 为 
室内 无 线 网 的 候选 对 象 。 


1.2.7 检 错 与 纠 错 


在 数据 传输 过 程 中 ， 由 于 信道 受到 噪声 或 干扰 的 影响 ， 信 号 的 波形 传 到 接收 方 就 可 
能 会 发 生 错误 。 为 了 把 这 些 错 误 减 少 到 人 们 预期 要 求 的 最 低 限 度 , 就 需要 进行 差错 控制 。 

差错 控制 的 原理 很 简单 。 在 被 传送 的 位 信息 后 附加 x 位 元 余 位 ， 被 传送 的 数据 共 
Ktr 位 ， 而 这 > 位 元 余 位 是 用 某 种 明确 定义 的 算法 直接 从 磊 位 信息 导出 的 , 接收 方 对 收 到 
的 信息 应 用 同一 算法 ， 将 结果 与 发 送 方 给 它 的 结果 进行 比较 ， 若 不 相等 则 数据 出 现 了 差 
错 。 如 果 接 收 方 知道 有 差错 发 生 ， 但 不 知道 是 怎样 的 差错 ， 然 后 向 发 送 方 请 求 重 传 ， 这 
种 策略 称 为 检 错 。 如 果 接 收 方 知道 有 差错 发 生 ， 而 且 知道 是 怎样 的 差错 ， 这 种 策略 称 为 
纠 错 。 

1. 二 维 奇 偶 校 验 

二 维 奇偶 校 验 基于 一 维 的 奇偶 校 验 ， 除 了 把 额外 的 1 个 比特 附加 到 7 个 比特 编码 上 
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来 平衡 字 节 中 1 的 个 数 外 ， 还 对 数据 中 每 一 字 节 的 每 一 比特 位 置 进行 类 似 的 计算 ， 产 生 一 个 额外 的 奇偶 校 验 字 节 。 
如 图 1-38 所 示 的 例子 ， 对 42 位 数据 进行 二 维 偶 校 验 , 产生 6 个 字 节 数据 和 一 个 奇偶 校 验 字 节 ， 加 入 了 14 位 的 宛 余 
信息 。 


010100 10Y 
110100 1|0 
1011110 贺 | 
0001110 荐 
0o110100 荐 
1011111 而 
| 
图 1-38 ”二 维 偶 校 验 


2. 循环 元 余 校 验 

循环 元 余 校 验 (Cyclic Redundancy Check，CRC) 是 一 种 通过 多 项 式 除法 检测 错误 的 方法 ， 将 每 个 比特 串 看 作 
一 个 多 项 式 ， 采 用 模 2 运算 。 通 常 它 将 比特 串 

bib。 2b,, 3…bzbibo 
解释 成 多 项 式 
bnI+ bo2+ bacr3+… 十 bao2+bixlHbor 

如 果 采 用 多 项 式 编码 的 方法 ， 发 送 方 和 接收 方 必须 事先 商定 一 个 生成 多 项 式 G(x)， 生 成 多 项 式 的 高 位 和 低位 

必须 是 1。 以 下 4 个 生成 多 项 式 已 成 为 国际 标准 。 


CRC-12 : xDHKH+ PHOHYH1 
CRC-16 Ml 
CRC-CCI : Xetra tl 
TE 
CRC-32 : THO tt x tx tt tt tx ttt ttl 


对 轴 位 的 数据 MC)， 要 进行 循环 元 余 校 验 ， 发 送 方 的 处 理 过 程 如 下 : 

(1) 设 GQ 为 r 阶 ， 在 数据 的 末尾 附加 x 个 0， 使 数据 为 mtr 位 ， 则 相应 的 多 项 式 BCO=wMo。 

(2) 按 模 2 除法 用 对 应 于 G() 的 位 串 去 除 对 应 于 BGO 的 位 串 ， 求 出 余数 RD)。 

(3) 按 模 2 减法 从 对 应 于 BCo) 的 位 串 中 减 去 余数 ， 结 果 就 是 要 传送 带 循环 元 余 校 验 
的 帧 TCD)=BCD)-RCoD。 

如 图 1-39 所 示 的 例子 , 帧 为 1101011011B, 所 选 的 生成 多 项 式 GOOD= xxz+l, 则 一 4， 
在 帧 后 附加 4 个 0。 
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帧 :; ”1101011011 
除数 : ”10011 
00001010 


Yo oo oY 


1 
mh 
i 
00001 
0 0 0 0 
0010 
0000 
0 0 1 
00000 
外 午间 1- 业 
00000 
0 1 1 0 
入 入 ?人 
0 
00000 
10 100 
人 
帮主 -生生 
0 0 0 0 


和 


传输 的 帧 : 11010110111110 
1-39 ”循环 元 余 校 验 码 的 计算 


很 显然 ，7Go) 能 被 GC) 除 尽 。 因 此 当 接 收 方 收 到 的 比特 流 相应 的 多 项 式 为 TCD) 时 ， 
接收 方 将 TD 除 以 G(x)， 若 余数 为 0， 则 接收 方 认为 TCD)-= T(x)， 否 则 接收 方 认为 发 生 
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了 错误 并 要 求 重 传 。 

3. 检 错 重 发 (Automatic Repeat reQuest, ARQ) 

检 错 重 发 方式 中 ， 发 送 端 经 信道 编码 后 可 以 发 出 具有 检 错 能 力 的 码 组 ， 接 收 端 收 到 
后 经 检测 如 果 发 现 传输 中 有 错误 ， 则 通过 反馈 信道 把 这 一 判断 结果 反馈 给 发 送 方 ， 然 后 
发 送 端 把 前 面 发 出 的 信息 重新 传送 一 次 ， 直 到 接收 端 认为 已 经 正确 为 止 。 常 用 的 检 错 重 
发 系统 有 停 发 等 候 重 发 、 返 回 重 发 和 选择 重 发 三 种 。 

1) 停 发 等 候 重 发 

停 发 等 候 重 发 系统 的 发 送 端 在 某 一 时 刻 向 接收 端 发 送 一 个 码 组 ， 接 收 端 收 到 后 经 检 
测 车 未 发 现 传输 错误 ， 则 发 送 一 个 确认 信号 ‘ACK) 给 发 送 端 ， 发 送 端 收 到 ACK 信号 
后 再 发 送 下 一 个 码 组 ， 如果 接 收 端 检测 出 错误 ， 则 发 送 一 个 否认 信号 “NAK)， 发 送 端 
收 到 NAK 信号 后 重 发 前 一 个 码 组 , 并 再 次 等 待 ACK 或 NAK 信和 号。 这 种 方法 效率 不 高 ， 
但 工作 方式 简单 。 

2) 返回 重 发 

在 返回 重 发 系统 中 ， 发 送 端 无 停顿 地 送出 一 个 又 一 个 码 组 ， 不 再 等 待 ACK 信号 ， 
一 旦 接收 端 发 现 错误 并 发 回 NAK 信号 ， 则 发 送 端 开始 重 发 检测 出 错误 的 码 组 以 及 该 错 
误 码 组 之 后 的 码 组 。 

3) 选择 重 发 

在 选择 重 发 系统 中 ， 发 送 端 也 是 连续 不 断 地 发 送 码 组 ， 接 收 端 发 现 错误 发 回 NAK 
信号 。 与 返回 重 发 系统 不 同 的 是 ， 发 送 端 不 是 重 发 前 面 的 所 有 码 组 ， 而 是 只 重 发 有 错误 
的 那 一 组 。 显 然 ， 这 种 选择 重 发 系统 传输 效率 最 高 ， 但 控制 最 复杂 。 


1.3 ”网络 体系 结构 


计算 机 网 络 是 一 个 复杂 的 系统 ， 通 常 把 计算 机 网 络 按照 一 定 的 功能 与 逻辑 关系 划分 
成 一 种 层次 结构 。 这 种 层次 结构 对 用 户 来 说 是 “透明 ”的 ， 用 户 不 用 关心 网 络 是 如 何 工 
作 的 。 但 是 作为 网 络 研究 人 员 就 要 知道 这 种 层次 关系 及 其 实现 的 功能 。 除 了 计算 机 网 络 
的 层次 关系 , 计算 机 网 络 中 通常 有 很 多 节点 , 这 些 节点 在 计算 机 之 间 需 要 相互 交换 数据 ， 
交换 数据 时 必须 遵守 的 一 组 约定 或 规则 称 为 协议 。 计 算 机 网 络 的 体系 结构 就 是 这 种 层次 
结构 与 协议 的 集合 。 

网 络 协 议 是 计算 机 网 络 体系 结构 的 关键 要 素 之 一 。 协 议 包 含 三 个 要 素 : 语法 、 语 义 
和 时 序 。 语 法 是 数据 与 控制 信息 的 结构 或 格式 。 语 义 是 需要 发 出 何 种 控制 信息 、 执 行 何 
种 动作 或 返回 何 种 应 答 。 时 序 关系 是 事件 实现 顺序 的 详细 说 明 。 协 议 与 计算 机 的 网 络 层 
次 结构 相对 应 。 协 议 体系 结构 的 思想 是 : 用 一 个 构造 好 的 模块 集合 来 完成 不 同 的 通信 
功能 。 

OSI 参考 模型 是 计算 机 网 络 的 基本 体系 结构 模型 。 依 据 网 络 的 不 同 ， 通 常 使 用 的 协 
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议 有 TCP/IP 协议 、IPX/SPX 协议 、NetBEUI 协议 。 其中, TCP/IP 协议 在 Internet 中 使 用 ， 
是 目前 应 用 范围 最 广 的 协议 ， 实 现 各 种 不 同 的 计算 机 网 络 平台 间 的 互相 连接 和 通信 。 


1.3.1 ”应 用 层 


1. 应 用 层 功能 

网 络 的 应 用 层 是 网 络 体系 结构 中 的 最 高 层 ， 它 是 计算 机 开放 互 连 环境 与 本 地 系统 的 
操作 环境 和 应 用 系统 直接 接口 的 一 个 层次 。 在 功能 上 ， 应 用 层 为 本 地 系统 的 应 用 进 
程 (Application Process，AP) 访问 网 络 环境 提供 手段 ， 也 是 唯一 直接 给 应 用 进程 提供 
各 种 应 用 服务 的 层次 。 即 借助 应 用 实体 、 应 用 协议 和 应 用 服务 实现 端点 用 户 之 间 的 信息 
交换 。 

需要 说 明 的 是 ， 在 OSI 参考 模型 中 定义 的 应 用 层 中 不 包含 应 用 系统 ， 应 用 层 的 含义 
是 “直接 为 用 户 的 应 用 进程 提供 服务 ”的 一 个 OSI 功能 层 。 但 在 很 多 实际 的 计算 机 网 络 
系统 (如 Internet 的 TCP/PP) 中 , 应 用 层 是 OSI 环境 下 的 应 用 服务 与 应 用 系统 的 融合 体 ， 
它 的 应 用 层 协 议 就 是 一 个 个 具体 的 应 用 协议 ， 并 表现 为 一 个 个 具体 的 应 用 程序 ， 如 文件 
传输 程序 FTP、 远 程 终端 程序 Telnet 等 。 

应 用 层 的 主要 功能 如 下 。 

(1) 应 用 管理 : 由 应 用 管理 实体 对 应 用 进程 进行 管理 ， 包 括 应 用 进程 参数 初始 化 ， 
应 用 进程 的 创建 、 维 护 和 终止 ， 给 应 用 进程 分 配 资源 和 收回 资源 等 。 

(2) 系统 管理 : 包括 开放 系统 中 资源 的 激活 、 维 持 和 终止 ， 开 放 系 统 参数 的 初始 设 
置 和 修改 ， 管 理 实体 间 连 接 的 建立 、 维 持 和 释放 ， 出 错 检 测 及 诊断 等 。 

2. 应 用 层 实现 模型 

计算 机 网 络 的 最 终 目的 是 为 现实 的 应 用 系统 更 确切 的 说 是 应 用 进程 ) 创建 一 种 开 
放 的 互 连 通信 环境 〈 即 OSI 环境 )， 并 提供 本 地 系统 与 外 界 系统 进行 应 用 合作 的 各 种 应 
用 服务 。 实 际 应 用 系统 中 ， 当 与 远 端的 应 用 系统 进行 交互 时 ， 应 用 进程 除 与 OSI 环境 进 
行 交互 外 , 还 与 本 地 系统 交互 。 以 本 地 应 用 进程 A 同 另 一 端 系统 中 B 应 用 进程 发 送 一 个 
文件 为 例 ， 进 程 A 在 发 送 前 首先 要 通过 本 地 系统 找到 该 文件 (与 OSI 无 关 的 交互 )， 然 
后 发 给 应 用 进程 B (与 OSI1 有 关 的 交互 )。 

在 OSI 标准 中 ， 把 应 用 进程 中 与 OSI 有 关 的 那 部 分 抽象 为 应 用 实体 “Application 
Entity，AE)， 并 放 入 应 用 层 内 ， 用 以 代表 应 用 进程 参与 和 其 他 应 用 进程 的 交互 (执行 
OSI 通信 )。 而 把 与 OSI 无 关 的 那 部 分 应 用 进程 仍 称 为 应 用 进程 AP， 放 在 应 用 层 之 外 。 
应 用 实体 可 与 下 层 〈OSI 的 表示 层 ) 进行 联系 。 应 用 层 实现 模型 如 图 1-40 所 示 。 

通常 一 个 应 用 实体 由 一 个 用 户 元 素 (User Element，UE) 和 若干 应 用 服务 元 素 
(Application Service Element，ASE) 组 成 。UE 是 应 用 进程 (AP) 与 应 用 实体 之 间 的 接 
口 ， 应 用 进程 通过 UE 取得 应 用 层 的 服务 。 在 具体 的 实 系统 中 ，UE 通常 体现 为 一 组 服务 
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调用 。 应 用 服务 元 素 ASE 是 一 些 可 重复 使 用 的 程序 模块 ， 这 种 模块 提供 某 种 应 用 OSI 
的 能 力 。 两 个 对 等 应 用 实体 之 间 执 行 某 种 应 用 层 协 议 向 其 服务 用 户 提供 某 种 服务 。 


应 用 进程 (AP) 应 用 进程 (AP) 
m=-=]-======= 如 用 赚 务 一 一 一 二 一 一 下 全 天 一生 二 党 = 


应 用 实体 (AE) 应 用 层 协议 应 用 实体 (AE) 


表示 实体 (PE) 表示 实体 (PE) 
图 1-40 ”应 用 层 实现 模型 
1.3.2 ”传输 层 


1.3.2.1 ”传输 层 的 主要 功能 


传输 层 是 网 络 体系 结构 中 最 关键 的 一 层 ， 是 资源 子 网 和 通信 子 网 的 界面 与 桥梁 ， 它 
是 面向 应 用 的 高 层 和 面向 通信 的 低 三 层 协议 之 间 的 接口 。 传 输 层 主要 具有 以 下 功能 。 

(1) 连接 管理 :传输 层 连接 的 管理 包括 端 到 端 连接 的 建立 、 维 持 和 拆除 。 传 输 层 可 
同时 支持 多 个 进程 的 连接 ， 即 将 多 个 进程 连接 复 用 在 一 个 网 络 层 连接 上 。 

(2) 优化 网 络 层 提 供 的 服务 质量 : 传输 层 优化 网 络 服务 质量 包括 检查 低层 未 发 现 的 
错误 、 纠 正 低层 检测 出 来 的 错误 、 对 接收 到 的 数据 包 重 新 排序 、 提 高 通信 可 用 带宽 、 防 
止 无 访问 权 的 第 三 者 对 传输 的 数据 进行 读 取 或 修改 等 。 

(3) 提供 端 到 端的 透明 数据 传输 : 传输 层 可 以 弥补 低层 网 络 所 提供 服务 的 差异 ， 屏 
蔽 低层 网 络 的 细节 操作 ， 对 数据 传输 的 控制 包括 数据 报 文 分 段 和 重组 、 端 到 端 差错 检测 
和 恢复 、 顺 序 控制 和 流量 控制 等 。 

(4) 多 路 复 用 和 分 流 : 当 传 输 层 用 户 进程 的 信息 量 较 少时 ， 将 多 个 传输 连接 映射 到 
一 个 网 络 连接 上 ， 以 便 充 分 利用 网 络 连 接 的 传输 速率 ， 减 少 网 络 连接 个 数 。 


1.3.2.2 ”传输 层 服 务 质量 


传输 层 位 于 低层 和 高 层 之 间 ， 起 到 从 通信 到 应 用 间 的 桥梁 作用 。 它 通过 补充 和 完善 
通信 子 网 服务 质量 的 差异 和 不 足 ， 向 其 高 层 提供 统一 服务 质量 的 透明 数据 传输 服务 。 传 
输 层 向 上 层 提供 的 服务 是 利用 网 络 层 服务 来 实现 的 。 不 同 的 通信 子 网 所 提供 的 网 络 服务 
质量 是 不 一 样 的 。 这 里 的 服务 质量 主要 是 指 差错 率 。 因 为 无 论 何 种 网 络 ， 传 输 层 都 要 向 
高 层 提供 同样 的 服务 ， 所 以 ， 如 果 通 信子 网 的 服务 质量 好 ， 传 输 层 所 具有 的 功能 就 可 以 
相应 的 少 ， 反 之 ， 则 多 。 
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通信 子 网 按 服务 质量 的 不 同 可 分 为 A，B，C 三 种 类 型 。 

1) A 型 网 络 

A 型 网 络 具 有 可 接受 的 残留 差错 率 和 可 接受 的 故障 通知 率 ， 残 留 差错 率 是 指 未 纠正 
的 差错 ， 故 障 通知 率 是 指 网 络 层 检测 到 的 并 通知 传输 实体 予以 纠正 的 故障 。 这 种 网 络 提 
供 近乎 可 靠 的 网 络 服务 ， 当 分 组 在 网 络 中 传输 时 ， 既 不 丢失 、 重 复 ， 也 不 失 序 。 虚 电路 
服务 属于 A 型 服务 。 公 用 广域网 很 少 具 有 这 种 性 能 。 

2) B 型 网 络 

B 型 网 络 具有 可 接受 的 残留 差错 率 和 不 可 接受 的 故障 通知 率 。B 型 服务 较 差 ， 利 用 
该 网 络 的 传输 层 必 须 提供 差错 恢复 功能 。X.25 分 组 交换 网 等 广域网 所 提供 的 服务 属于 B 
型 服务 。 

3) C 型 网 络 

C 型 网 络 具 有 不 可 接受 的 残留 差错 率 。 因 为 这 种 网 络 不 能 检测 到 差错 ， 因 此 运行 在 
这 种 网 络 上 的 传输 层 协议 不 仅 要 能 检测 到 差错 ， 而 且 要 有 差错 恢复 能 力 。 数 据 报 服务 的 
网 络 或 无 线 分 组 交换 网 络 均 属 于 C 型 服务 。 

由 此 可 见 ， 网 络 服务 质量 的 划分 是 以 用 户 要 求 为 依据 的 。 若 用 户 要 求 比较 高 ， 则 一 
个 网 络 可 能 归于 C 型 ， 反 之 ， 则 一 个 网 络 可 能 归于 B 型 甚至 A 型 。 例 如 ， 对 于 某 个 电 
子 邮 件 系 统 来 说 ， 如 果 网 络 每 周 丢失 一 个 分 组 ， 那 么 此 网 络 也 许可 算 做 A 型 ; 而 此 网 络 
对 银行 系统 来 说 则 只 能 算 作 C 型 了 。 三 种 类 型 的 网 络 服 务 中 ，A 型 网 络 服务 质量 最 高 ， 
B 型 网 络 服务 质量 次 之 ，C 型 网 络 服务 质量 最 差 。 


1.3.2.3 ” 寻 址 


传输 层 要 在 用 户 进程 之 间 提 供 可 靠 和 有 效 的 端 对 端 服务 ， 必 须 把 一 个 目标 用 户 进 程 
和 其 他 的 用 户 进程 区 分 开 来 ， 这 是 由 传输 地 址 来 实现 的 。 目 标 用 户 需 要 这 样 的 说 明 : 用 
户 标 识 、 传 输 实体 、 主 机 地 址 和 网 络 号 码 。 传 输 层 定义 一 组 传输 地 址 ， 以 供 通信 选用 。 
传输 地 址 用 术语 “传输 服务 访问 点 ”(Transport Service Access Point，TSAP) 来 描述 。 为 
确保 所 有 传输 地 址 在 整个 网 上 是 唯一 的 ， 传 输 地 址 规定 由 网 络 号 、 主 机 号 以 及 由 主机 分 
配 的 端口 组 成 。 

传输 地 址 的 构成 有 以 下 两 种 方法 。 

1) 层次 地 址 

该 地 址 由 一 系列 域 组 合 而 成 ， 把 它们 从 空间 上 分 开 。 例 如 : 

地 址 =< 国 家 >< 网 络 >< 主 机 >< 端 口 > 

这 种 方法 的 优点 是 路 径 选择 方便 ， 建 立新 接口 也 比较 方便 ， 而 且 不 受 高 位 编码 的 制 
约 。 其 缺点 是 进程 移动 不 方便 ， 因 原 地 址 在 新 机 器 上 不 能 用 ， 故 路 径 选 择 缺 乏 灵活 性 。 

一 个 实际 例子 是 ， 在 Internet 中 用 <IP 地 址 >< 端 口号 > 表示 TSAP。 
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2) 平面 地 址 空间 

平面 名 称 对 应 于 地 理 上 或 任何 其 他 层次 方面 都 无 特定 关系 的 传输 地 址 ， 可 以 用 一 个 
号 码 当 作 单 一 系统 内 的 地 址 。 用 这 种 方法 确定 的 地 址 是 唯一 的 ， 而 且 同 它 所 处 的 位 置 
无 关 。 

这 种 方法 的 优点 是 移动 进程 能 携带 地 址 ， 单 路 径 选 择 较 困难 、 分 配 地 址 较 复杂 ， 因 
为 要 确保 每 个 地 址 都 是 唯一 的 。 


1.3.2.4 ”建立 与 释放 连接 


传输 服务 有 两 大 类 : 面向 连接 的 传输 服务 和 无 连接 的 传输 服务 。 无 连接 的 传输 服务 
比较 简单 ， 不 需要 进行 传输 控制 。 而 对 于 面向 连接 传输 服务 的 两 个 用 户 〈 或 进程 )》 进 行 
相互 通信 ， 一 般 要 经 历 三 个 过 程 : 建立 连接 、 数 据 传 输 和 释放 连接 。 

1. 建立 连接 

首先 在 两 个 传输 服务 用 户 之 间 要 建立 连接 ， 然 后 才能 在 该 连接 上 进行 实质 性 的 数据 
传输 。 此 传输 连接 应 由 双方 的 传输 地 址 构成 。 在 连接 建立 过 程 中 ， 根 据 用 户 对 服务 质量 
的 要 求 ， 相 互 协商 服务 的 功能 与 参数 ， 如 选择 合适 的 网 络 服务 、 协 商 传输 协议 数据 单元 
的 大 小 、 确 定 是 否 使 用 多 路 复 用 和 流量 控制 等 。 

一 个 传输 实体 向 目的 机 器 发 送 一 个 连接 请 求 的 传输 协议 数据 单元 TPDU)， 待 接收 
到 对 方 连 接 的 应 答 就 可 以 建立 连接 了 。 这 个 过 程 通常 称 之 为 “二 次 握手 ”。 

但 当 网 络 可 能 丢失 、 存 储 、 出 现 重 复 分 组 时 ， 这 种 简单 的 方法 就 不 行 了 。 为 了 解决 
这 些 问题 ， 提 出 了 三 次 握手 的 方法 。 三 次 握手 时 建立 连接 需要 三 个 步 又 : 

(1) 甲 方 发 送 一 个 连接 请 求 包 到 乙方 。 

(2) 乙方 回 送 一 个 连接 请 求 包 到 甲 方 。 

(3) 甲 方 再 回 送 一 个 包 确 认 验 证 。 

2. 数据 传输 

一 旦 连接 建立 ， 两 个 对 等 实体 就 可 以 使 用 发 送 (SEND) 和 接收 (RECIVE) 原 语 交 
换 数据 了 ; 如 果 用 户 的 数据 超过 了 最 大 分 组 尺寸 ， 发 送 方 传输 层 实体 会 将 数据 分 段 ， 每 
一 个 分 段 都 有 一 个 序列 号 ， 最 后 的 分 段 有 一 个 结束 标志 ， 这 样 ， 在 接收 方 就 能 按照 正确 
的 顺序 还 原 数据 。 

3. 释放 连接 

释放 传输 连接 包括 对 称 释放 (正常 释放 〉 和 非 对 称 释放 〈 突 发 性 终止 》 两 种 情况 ， 
后 者 指 拒绝 建立 连接 或 单方 面 终止 连接 , 因为 这 种 情况 非常 突然 , 可 能 会 导致 数据 丢失 ， 
因而 不 适 于 在 运输 层 使 用 。 

对 称 释放 方式 在 两 个 方向 上 分 别 释 放 连 接 ， 一 方 释放 连接 后 ， 只 是 不 能 发 送 数 据 ， 
但 可 以 继续 接收 数据 。 
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1.3.2.5 ”流量 控制 与 缓冲 策略 


传输 服务 为 保证 连接 的 可 靠 性 ， 需 要 对 连接 进行 管理 ， 流 量 控制 是 连接 管理 的 基本 
内 容 之 一 。 缓 存 是 实行 流量 控制 的 必要 措施 。 

传输 层 中 流量 控制 是 端 到 端 执 行 的 ， 可 能 作用 在 多 条 链 路 上 。 传 输 层 需要 解决 的 是 
端 到 端的 流量 控制 问题 ， 首 先是 对 发 送 端 传送 实体 发 向 接收 端 实体 的 数据 流 加 以 控制 ， 
使 其 不 超过 接收 端 所 能 承受 的 接收 能 力 。 在 数据 链 路 层 协议 中 ， 各 帧 在 发 送 端 路 由 器 和 
接收 端 路 由 器 中 被 缓存 起 来 。 在 传输 层 就 要 开辟 很 多 缓冲 区 ， 造 成 资源 浪费 。 一 个 解决 
方案 是 : 根据 连接 所 传输 的 信息 的 类 型 ， 采 取 源 端 缓冲 方案 和 目的 端 缓冲 方案 ， 即 对 于 
低速 突 发 性 的 信息 ， 最 好 在 发 送 端 进行 数据 缓存 ， 对 于 高 速 平稳 的 信息 传输 ， 最 好 在 接 
收 端 进行 数据 缓存 。 

端 到 端的 流量 控制 问题 不 仅 要 考虑 接收 方 的 缓存 容量 问题 ， 还 要 考虑 子 网 的 运载 问 
题 。 如 果 发 送 端 发 送 数据 太 快 ， 就 会 造成 子 网 的 拥塞 ， 使 用 滑动 窗口 的 流量 控制 方法 来 
解决 此 问题 。 发 送 端 动态 调整 窗口 大 小 以 匹配 网 络 的 运载 容量 。 为 了 定期 调整 窗口 的 大 
小 ， 发 送 端 应 该 监测 网 络 的 运载 容量 和 循环 时 间 这 两 个 参数 ， 然 后 计算 所 希望 的 窗口 大 
小 。 运 载 容量 可 以 简单 地 通过 计算 在 某 段 时 间 间 隔 内 确定 的 TPDU 数 除 以 时 间 间 隔 来 决 
定 。 循 环 时 间 包括 传输 、 传 播 、 排 队 、 在 接收 力 的 处 理 以 及 确认 帧 的 返回 时 间 。 网 络 的 
容量 依赖 于 其 数据 传输 量 ， 因 此 应 该 频繁 地 调整 窗口 大 小 以 适应 网 络 运载 容量 的 变化 。 


1.3.2.6 ”传输 服务 原 语 


服务 在 形式 上 是 以 一 组 原 语 (primitive) 来 描述 的 。 原 语 被 用 来 控制 服务 提供 者 采 
取 某 些 行动 ， 或 报告 某 同 层 实 体 已 经 采取 的 行动 。 在 OSI 参考 模型 中 ， 服 务 原 语 划 分 为 
4 种 : 

1) 请 求 (request) 

用 户 利用 它 要 求 服务 提供 者 提供 某 些 服 务 ， 如 建立 连接 或 发 送 数据 等 。 

2) 指示 (indication) 

服务 提供 者 执行 一 个 请 求 以 后 ， 用 指示 原 语 通知 收 方 的 用 户 实体 ， 告 知 有 人 想 要 与 
之 建立 连接 或 发 送 数据 等 。 

3) 响应 (response) 

收 到 指示 原 语 后 ， 利 用 响应 原 语 向 对 方 做 出 反应 ， 例 如 同意 或 不 同意 建立 连接 等 ; 

4) 确认 《confirm) 

请 求 对 方 可 以 通过 接收 确认 原 语 来 获悉 对 方 是 否 同意 接受 请 求 。 原 语 可 以 携带 参数 
如 连接 请 求 原 语 的 参数 包括 机 器 连接 需要 什么 服务 类 别 等 。 连 接 指示 原 语 的 参数 包含 呼 
叫 者 的 表示 、 需 要 服务 的 类 别 等 。 被 呼叫 实体 可 以 在 响应 原 语 中 的 参数 里 表示 同意 或 不 
同意 连接 ， 若 同意 ， 则 对 某 些 参数 给 出 协商 值 ， 比 如 最 大 数据 吞吐 量 等 ，ISO 定义 的 传 
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输 服 务 包括 了 4 种 类 型 共 10 个 传输 服务 原 语 。 
1.3.3 ”网 络 层 


网 络 层 是 通信 子 网 的 最 高 层 ， 是 高 层 与 低层 协议 之 间 的 界面 层 。 网 络 层 用 于 控制 通 
信子 网 的 操作 ， 是 通信 子 网 与 资源 子 网 的 接口 。 网 络 层 关系 到 通信 子 网 的 运行 控制 ， 决 
定 了 资源 子 网 访问 通信 子 网 的 方式 。 

1. 网 络 层 主要 功能 

设置 网 络 层 的 主要 目的 就 是 为 报 文 分 组 以 最 佳 路 径 通过 通信 子 网 到 达 目 的 主机 提 
供 服务 ， 而 网 络 用 户 不 必 关 心 网 络 的 拓扑 结构 与 使 用 的 通信 介质 。 网 络 层 的 主要 功能 
如 下 。 

(1) 网 络 连接 功能 : 网 络 层 实 体 作 为 数据 链 路 层 服务 用 户 ， 利 用 各 条 链 路 上 的 数据 
链 路 连接 服务 ， 来 为 传送 实体 之 间 建 立 端 到 端的 网 络 连接 关系 。 其 中 ， 涉 及 到 数据 通路 
的 建立 、 维 护 和 拆除 的 过 程 。 

(2) 路 由 选择 功能 : 路 由 选择 是 为 建立 数据 通路 服务 的 一 种 功能 。 也 就 是 为 在 源 / 
宿 节点 之 间 建 立 通路 而 提供 一 些 控制 的 过 程 。 这 些 控制 过 程 由 路 由 算法 来 实现 。 

(3) 拥塞 控制 功能 : 拥塞 控制 的 主要 功能 是 对 进入 网 络 的 数据 流 实施 有 效 控制 ， 使 
通信 子 网 避免 发 生 “网 络 拥塞 ”和 “ 死 锁 ” 现 象 ， 保 持 稳定 运行 。 

(4) 数据 传输 功能 : 在 网 络 连 接 建 立 之 后 ， 网 络 层 实体 要 为 上 层 递交 下 来 的 数据 提 
供 传输 与 中 继 功 能 。 根 据 通路 的 类 型 ， 传 送 服务 数据 可 能 在 一 个 子 网 内 进行 ， 也 可 能 要 
跨越 互 连 设备 进行 中 继 转发 。 传 输 过 程 包括 对 数据 的 分 组 、 排 序 以 及 进行 差错 和 速度 控 
制 等 。 

根据 网 络 连 接 类 型 的 不 同 ， 网 络 层 协议 往往 提供 两 种 明显 不 同 的 数据 传输 方式 : 面 
向 连接 的 虚 电 路 方式 和 无 连接 的 数据 报 传输 方式 ， 它 们 分 别 向 上 提供 两 类 不 同 特征 和 服 
务 质量 的 数据 传输 服务 。 

(5) 其 他 功能 : 除了 具有 以 上 功能 外 ， 网 络 层 还 提供 诸如 子 网 接 入 、 网 络 连接 复 用 、 
计 费 以 及 在 网 络 互 连 环境 下 的 协议 转换 等 功能 。 

2. 数据 报 与 虚 电路 子 网 

网 络 层 的 内 部 构造 指 的 是 网 络 层 内 部 是 如 何 工作 的 。 有 两 类 构造 通信 子 网 的 方法 ， 
即 面向 连接 和 无 连接 的 方法 。 从 通信 子 网 内 部 操作 的 角度 看 ， 通 常 称 连接 为 虚 电 路 
《Virtual Circuit，VC)， 类 似 于 电话 系统 建立 的 物理 电路 。 采 用 面向 连接 方法 构造 的 通 
信子 网 称 为 虚 电 路 通信 子 网 。 采 用 无 连接 方法 构造 的 通信 子 网 称 为 数据 报 通 信子 网 。 
经 数据 报 通 信子 网 传送 的 是 独立 选 路 的 分 组 ， 称 为 数据 报 (datagram )， 与 普通 邮件 
相似 。 

出 现 这 两 种 服务 方式 的 原因 是 ， 网 络 层 设计 者 中 的 一 个 集团 (以 Intemet 委员 会 为 
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代表 ) 认为 : 通信 子 网 的 工作 是 在 网 上 传送 比特 ， 除 此 之 外 ， 别 无 他 事 。 按 照 他 们 的 观 
点 ， 不 管 怎样 设计 ， 通 信子 网 注定 是 不 可 靠 的 。 因 此 ， 主 机 必须 进行 差错 控制 和 流量 控 
制 ， 而 不 是 交 给 网 络 。 结 论 是 : 网 络 层 不 必 再 设置 分 组 排序 和 流量 控制 等 功能 ， 提 供 的 
服务 是 无 连接 方式 。 另 一 个 集团 〈 以 电信 公司 为 代表 ) 认为 : 通信 子 网 应 该 提供 一 种 可 
靠 的 、 面 向 连接 的 服务 。 面 向 连接 和 无 连接 两 种 服务 方式 之 间 争 论 的 实质 ， 就 是 将 复杂 
的 控制 功能 放 在 何 处 的 问题 。 在 面向 连接 的 服务 中 ， 它 们 被 置 于 网 络 层 〈 通 信子 网 ， 如 
ATM 网 )， 在 无 连接 的 服务 中 ， 则 被 置 于 传输 层 〈 主 机 ， 如 Intemet)。 

虚 电 路 常用 于 其 服务 方式 是 面向 连接 的 子 网 中 (如 AIM 上 的 ATM AAL1)。 数据 报 
常用 于 其 服务 方式 是 无 连接 的 子 网 中 (如 他 之 上 的 UDP)。 但 也 有 另外 两 种 应 用 ， 即 无 
连接 方式 的 虚 电 路 子 网 (如 ATM 上 的 全 或 全 上 的 用 户 数 据 报 协议 UDP〉 和 面向 连接 
方式 的 数据 报 子 网 (如 他 之 上 的 TCP)。 


1.3.4 数据 链 路 层 


数据 链 路 层 是 OSI 模型 的 第 2 层 ， 它 介 于 物理 层 与 网 络 层 之 间 。 用 于 在 相 邻 节点 间 
建立 数据 链 路 ， 传 送 以 帧 为 单位 的 数据 ， 使 其 能 够 有 效 、 可 靠 地 进行 数据 交换 。 本 层 通 
过 差错 控制 、 流 量 控制 等 ， 将 不 可 靠 的 物理 传输 信道 变 成 无 差错 的 可 靠 的 数据 链 路 。 将 
数据 组 成 适合 正确 传输 的 帧 形式 的 数据 单元 ， 对 网 络 层 屏蔽 物理 层 的 特性 和 差异 ， 使 高 
层 协议 不 必 考虑 物理 传输 介质 的 可 靠 性 问题 ， 而 把 信道 变 成 无 差错 的 理想 信道 。 


1.3.4.1 ”数据 链 路 层 主 要 功能 


数据 链 路 层 利用 物理 层 提供 的 位 串 传输 功能 ， 在 相 邻 节点 之 间 实 现 透 明 的 、 高 可 靠 
性 的 数据 传输 。 所 谓 透明 数据 传输 ， 指 无 论 所 传 数据 是 什么 样 的 比特 的 组 合 ， 都 能 够 照 
原样 传输 到 目的 节点 ， 其 处 理 过 程 对 上 层 是 不 可 见 〈 透 明 ) 的 。 

为 了 完成 这 一 任务 ， 数 据 链 路 层 应 具备 以 下 几 项 功能 。 

1) 帧 同步 

在 数据 链 路 层 ， 数 据 的 传送 单元 是 帧 。 帧 同步 是 指 接收 方 能 够 从 所 收 到 的 比特 流 中 
准确 地 区 分 帧 的 起 始 与 终止 。 帧 是 一 种 包括 数据 、 控 制 、 校 验 、 起 始 与 结束 码 在 内 的 组 
织 结构 ， 能 够 使 接收 方 明 确 帧 的 格式 和 有 效 的 识别 传输 中 的 差错 。 在 数据 链 路 层 中 ， 由 
于 数据 是 以 帧 为 单位 一 帧 一 帧 地 传输 ， 因 此 ， 当 接收 方 识别 出 某 一 帧 出 现 错误 时 ， 只 需 
重 发 此 帧 而 不 必 将 全 部 数据 进行 重 发 。 

2) 链 路 管理 

链 路 管理 包括 链 路 的 建立 、 维 护 和 释放 。 

链 路 管理 就 是 犹如 甲 、 乙 双方 打 电话 。 在 甲 、 乙 双方 通话 前 ， 首 先 必须 通过 交换 一 
些 必 要 的 信息 ， 确 认 受 话 方 已 准备 好 接 电话 ; 在 甲 、 乙 双方 通话 过 程 中 要 保持 通话 链 路 
始终 为 “ 通 ” 状 态 : 当 通 话 双方 通话 完毕 后 要 释放 链 路 ， 也 就 是 释放 连接 。 
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3) 差错 控制 

在 链 路 传输 帧 的 过 程 中 ， 由 于 种 种 原因 不 可 避免 的 会 出 现 帧 传 错 或 帧 丢失 的 情况 ， 
系统 必须 能 够 对 差错 进行 及 时 的 控制 及 恢复 。 

4) 流量 控制 

在 数据 传输 过 程 中 ， 如 果 对 信息 流量 控制 不 好 就 会 产生 严重 的 过 载 和 阻塞 情况 ， 以 
至 数据 传输 不 能 正常 进行 。 为 了 使 信息 在 网 络 中 尽 可 能 快 地 和 均匀 地 流动 ， 就 要 对 通信 
流量 进行 控制 。 

数据 链 路 层 流量 控制 的 目的 就 是 要 避免 阻塞 和 在 发 生 阻塞 的 情况 时 能 够 解除 阻塞 。 
其 实质 是 进行 调节 、 控 制 网 络 内 部 信息 的 流动 ， 即 控制 相 邻 两 个 节点 之 间 数 据 链 路 上 的 
流量 。 

产生 阻塞 的 主要 原因 如 下 : 

@ 当 一 个 发 送信 息 的 机 器 相对 于 接收 信息 的 机 器 来 说 , 以 过 快 的 速率 进行 信息 传送 
时 ， 接 收 机 的 缓冲 区 无 法 处 理 这 样 快 的 传输 ， 就 导致 阻塞 。 

@ 当 一 个 工作 站 突然 发 送 大 量 的 数据 给 另 一 个 工作 站 时 ， 会 产生 阻塞 。 

解决 阻塞 的 主要 方法 如 下 : 

@ 通过 对 点 到 点 的 同步 控制 ,来 保证 发 送 方 发 送 数据 的 速度 与 接收 方 接收 数据 的 速 
度 相 匹配 。 

@ 控制 网 络 的 输入 , 避免 产生 一 个 工作 站 突然 将 大 量 的 数据 报 文 提 交 给 另 一 工作 站 
的 现象 。 

@ 接收 工作 站 在 接收 数据 报 文 之 前 ， 要 保留 出 足够 的 缓冲 存储 空间 。 


1.3.4.2 ”数据 链 路 层 成 帧 方法 


在 数据 链 路 层 ， 数 据 按 帧 传送 ， 当 出 现 差错 时 ， 可 只 重 传 有 差错 的 帧 。 为 此 ， 收 方 
应 能 从 到 达 的 数据 流 中 准确 地 区 分 出 各 帧 的 边界 ， 称 为 帧 同步 。 帧 同步 又 称 为 成 帧 。 

下 面 介 绍 4 种 典型 成 帧 方法 : 

1) 字符 计数 法 

字符 计数 法 在 帧 头 中 设置 一 个 字段 以 标明 该 帧 包含 的 字符 数 。 字 符 计 数 法 存在 的 问 
题 是 ， 如 果 某 帧 的 字符 计数 字段 出 错 将 导致 目的 方 无 法 知道 该 帧 的 实际 长 度 ， 因 而 目的 
方 无 法 确定 下 一 帧 的 开始 位 置 ， 出 现 与 发 送 方 不 同步 。 因 此 ， 现 在 已 很 少 单独 使 用 字符 
计数 法 。 

2) 带 字 符 填 充 的 首尾 界 符 法 

第 二 种 成 帧 法 避 开 了 出 错 后 再 同步 的 问题 ， 每 一 帧 以 ASCII 字符 序列 的 DLE STX 
开头 ， 以 DLE ETX 结束 (DLE 代表 Data Link Escape; STX 代表 Start of Text; ETX 代 
表 End of Text)。 目 的 机 器 一 旦 丢失 帧 边界 ， 只 需 查找 DLE STX 或 DLE ETX 字符 序列 ， 
就 可 以 重新 找到 帧 边界 所 在 的 位 置 。 
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当 传 送 如 目标 程序 或 浮 点 数 这 样 的 二 进 制 数据 时 ，DLE STX 或 DLE ETX 可 能 出 现 
在 数据 中 ， 因 而 误 判 帧 的 边界 。 一 种 解决 办 法 是 ， 发 送 方 的 数据 链 路 层 在 数据 中 出 现 的 
每 个 DLE 字符 前 插入 一 个 DLE， 接 收 方 则 在 将 数据 交 给 网 络 层 之 前 删除 DLE。 这 种 技 
术 叫 做 字符 填充 (character stuffing)， 如 图 1-41 所 示 。 
同步 字符 帧 首 数据 帧 尾 
传输 帧 [SYN[SYN[DLETSTX| A [TDLEIDLE[ B [DLE[DLE| C [DLE[ETX 
SR 


填充 字符 


1-41 带 字 符 填 充 的 首尾 界 符 法 


这 种 成 帧 方法 的 主要 缺点 是 完全 依赖 于 特定 的 字符 集 〈 例 如 ASCI 字符 )， 此 外 ， 
报 文 的 长 度 还 必须 是 字符 长 度 的 整数 倍 。 

3) 带 位 填充 的 首尾 标志 法 

这 种 技术 允许 数据 帧 包含 任意 位 数 (在 最 大 帧 长 范围 内 )。 其 工作 方式 如 下 : 每 一 帧 
使 用 一 个 特殊 的 位 模式 ， 例 如 01111110 作为 开始 和 结束 标志 字 节 。 

当 发 送 方 的 数据 链 路 层 在 数据 中 遇 到 5 个 连续 的 1 时 ， 就 自动 在 其 后 插入 一 个 0。 
当 接 收 方 接收 到 5 个 连续 的 1 后 面 跟着 一 个 0 时， 自动 将 此 0 删 去 。 这 种 方法 使 帧 中 的 
数据 字段 可 以 包含 任意 的 位 序列 ， 称 为 位 填充 (bit stuffing〉 技 术 ， 如 图 1-42 所 示 。 

帧 首 数据 帧 尾 
| t t | 

01111110 | O1111101101111100 | 01111110 


填充 位 填充 位 
图 1-42 带 位 填充 的 首尾 标志 法 


位 填充 技术 和 字符 填充 技术 一 样 ， 对 通信 双方 计算 机 的 网 络 层 来 说 都 是 透明 的 。 

采用 位 填充 技术 ， 两 帧 间 的 边界 可 以 通过 标志 字 节 唯一 地 识别 。 失 去 同步 的 接收 方 
只 需 在 输入 流 中 扫描 标志 序列 ， 即 可 重新 获得 同步 。 

4) 物理 层 编码 违例 法 

在 物理 线路 编码 (将 数据 用 电信 号 的 波形 表示 出 来 ) 方案 中 采用 元 余 技 术 的 网 络 ， 
可 以 采用 这 种 成 帧 方法 。 一 些 局 域 网 用 两 个 码 元 译 码 成 数据 的 一 位 。 例 如 ， 采 用 曼 彻 斯 
特 编码 时 ， 将 数据 位 1 编码 成 高 - 低 电 平 对 ， 将 数据 位 0 编码 成 低 -高 电 平 对 ， 而 高 -高 电 
平 对 和 低 - 低 电 平 对 (无 效 物理 编码 ) 则 用 作 帧 界定 符 。 这 样 ， 在 每 个 数据 位 中 都 将 出 现 
电 平 的 跳 变 ， 而 用 作 帧 界定 的 每 个 数据 位 中 却 不 会 有 电 平 的 跳 变 ， 接 收 方 据 此 就 很 容易 
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确定 帧 的 边界 了 。802.3 和 802.5 局 域 网 标准 就 采用 了 这 种 方法 。 

很 多 数据 链 路 协议 为 提高 可 靠 性 ， 采 用 字符 计数 与 其 他 方法 相 结合 的 策略 。 当 一 个 
帧 到 达 时 ， 其 计数 字段 被 用 来 确定 帧 尾 。 只 有 当 帧 界定 符 出 现在 帧 尾 ， 且 校 验 和 正确 时 ， 
该 帧 才 会 被 接受 为 有 效 帧 。 否 则 ， 将 继续 扫描 输入 流 直到 下 一 个 界定 符 。 


1.3.4.3 ”数据 链 路 层 差错 控制 方法 


计算 机 通信 要 求 有 极 低 的 位 差错 率 ， 为 此 ， 广 泛 采 用 编码 技术 来 进行 差错 控制 。 一 
类 是 前 向 纠 错 ， 采 用 纠 错 码 ， 一 类 是 检 错 重 发 ， 采 用 检 错 码 。 

1) 前 向 纠 错 

接收 方 收 到 有 差错 的 数据 帧 时 ， 能 够 自动 将 差错 改正 过 来 。 这 种 方法 开销 较 大 ， 不 
适合 于 计算 机 通信 。 

2) 检 错 重 发 

接收 方 收 到 有 差错 的 数据 帧 时 ， 检 测 到 差错 并 让 发 送 方 重 发 该 帧 ， 直 到 接收 方正 确 
收 到 为 止 。 在 计算 机 通信 中 常用 检 错 重 发 送 方法 。 

为 保证 发 送 方 发 出 的 所 有 帧 都 正确 有 序 地 交付 给 目标 机 网 络 层 ， 需 要 启动 确认 重 传 
机 制 ， 由 接收 方向 发 送 方 提供 有 关 接 收 情况 的 反馈 信息 。 如 果 发 送 方 收 到 肯定 确认 ， 则 
通知 此 帧 已 正确 到 达 ; 若 收 到 的 是 否认 ， 则 意味 着 需要 重 传 此 帧 。 

为 防止 帧 的 丢失 ， 需 设置 定时 器 。 当 发 送 方 等 待 足够 的 时 间 还 未 收 到 接 接 收 方 的 确 
认 帧 ， 则 可 重 传 此 帧 。 但 重 传 可 能 导致 接收 方 收 到 重复 帧 。 为 此 ， 可 为 各 帧 编号 ， 使 接 
收 方 能 辨别 是 重复 帧 还 是 新 帧 ， 以 保证 每 帧 最 终 只 交付 给 目标 机 网 络 层 一 次 。 

目前 ， 主 要 使 用 的 检 错 码 是 奇偶 校 验 码 和 循环 元 余 码 〈CRC )。 

奇偶 校 验 码 分 为 垂直 奇 〈 偶 ) 校 验 、 水 平 奇偶 校 验 和 水 平 垂直 奇偶 校 验 。 它 们 的 元 
余 位 少 、 方 法 简单 ， 但 纠 错 能 力 差 ， 一 般 只 用 于 可 靠 性 要 求 较 低 的 通信 场合 。 

CRC 是 一 种 能 力 相当 强 的 检 错 码 ， 并 且 实 现 编码 和 检 错 的 电路 比较 简单 ， 因 而 得 到 
了 厂 泛 的 应 用 。 


1.3.4.4 ”基本 链 路 控制 规程 


通信 控制 规程 又 称 传输 控制 规程 。 它 是 为 实现 传输 控制 所 制定 的 一 系列 规则 。 数 据 
通信 的 过 程 包括 5 个 阶段 : 线路 连接 、 确 定 发 送 关 系 、 数 据 传输 、 传 输 结 束 、 拆 线 。 每 
个 阶段 中 都 有 一 定 的 规定 。 所 以 ， 在 通信 控制 规程 中 涉及 到 数据 编码 、 同 步 方式 、 差 错 
控制 、 应 答 方式 、 传 输 控制 步骤 、 通 信 方 式 和 传输 速率 等 内 容 。 

数据 链 路 层 有 两 个 基本 链 路 控制 规程 : 面向 字符 型 链 路 控制 规程 和 面向 比特 型 链 路 
控制 规程 。 

1. 面向 字符 型 链 路 控制 规程 

面向 字符 型 链 路 控制 规程 规定 一 些 特殊 的 非 打印 字符 作为 帧 界定 符 ， 以 实现 发 送 和 
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接收 方 的 同步 。 除 帧 界定 符 外 ， 还 需要 一 些 其 他 的 控制 字符 ， 如 询问 、 确 认 等 ， 总 共 设 
置 了 10 个 传输 控制 字符 。 

面向 字符 的 数据 链 路 控制 规程 又 分 为 两 类 :一 类 以 规定 的 字符 作为 帧 的 开始 和 结束 ， 
实现 帧 定 界 ， 以 保证 同步 。 另 一 类 以 帧 的 长 度 来 实现 帧 的 分 界 。 

2. 面向 比特 型 链 路 控制 规程 

随 着 通信 量 的 增加 及 计算 机 网 络 的 应 用 范围 不 断 扩大 ， 低 效率 纵 进 控制 字符 的 面向 
字符 的 数据 链 路 规程 越 来 越 变 得 力不从心 ， 面 向 比特 的 数据 链 路 控制 规程 解决 了 这 个 问 
题 ， 其 典型 代表 是 高 级 数据 链 路 控制 协议 (High Level Data Link Control，HDLC )。 

面向 比特 的 链 路 控制 规程 上 以 下 特征 : 

(1) 无 论 是 信息 报 文 还 是 控制 报 文 均 以 统一 的 帧 格式 进行 传输 。 

(2) 不 采用 特定 的 控制 字符 实现 链 路 两 端的 同步 , 而 是 采用 特定 的 位 组 合 实现 同步 。 

(3) 帧 中 的 数据 和 控制 信息 完全 独立 ， 除 标志 外 ， 所 有 信息 均 不 受 任何 位 组 合 的 限 
制 ， 具 有 良好 的 透明 性 。 

(4) 在 链 路 上 传输 信息 采用 连续 发 送 方式 ， 即 发 送 一 帧 后 ， 无 须 等 待 对 方 的 应 答 就 
可 以 发 送 下 一 帧 ， 提 供 了 信息 传送 效率 。 


1.3.4.5 ”数据 链 路 层 协议 


数据 链 路 层 协议 中 最 有 代表 性 的 是 高 级 数据 链 路 控制 协议 (HDLC )。 

HDLC 是 面向 比特 的 数据 链 路 控制 规程 。HDLC 协议 具有 透明 传输 、 可 靠 性 高 、 传 
输 效 率 高 和 灵活 性 强 等 特点 。HDLC 协议 规定 了 数据 传输 的 操作 模式 、 数 据 帧 格式 、 帧 
类 型 等 等 。 

为 满足 不 同 应 用 场合 的 需要 ，HDLC 协议 定义 了 三 种 站 类 型 、 两 种 链 路 结构 和 三 种 
数据 响应 模式 。 

1. 通信 站 类 型 

HDLC 协议 允许 有 三 种 类 型 的 通信 站 : 主 站 、 从 站 和 复合 站 三 类 。 

(1) 主 站 : 主 站 负责 控制 链 路 的 操作 与 运行 。 主 站 向 从 站 发 送 命令 帧 ， 并 从 从 站 接 
收 响应 帧 。 在 多 点 链 路 中 ， 主 站 负责 管理 与 各 个 从 站 之 间 的 链 路 。 

(2) 从 站 : 从 站 在 主 站 的 控制 下 进行 工作 。 从 站 发 送 响应 帧 作为 对 主 站 命令 帧 的 响 
应 。 从 站 对 链 路 无 控制 权 ， 从 站 之 间 不 能 直接 进行 通信 。 

(3) 复合 站 : 同时 具有 主 站 和 从 站 的 功能 ， 既 可 以 发 送 命令 帧 ， 也 可 以 发 送 响 应 帧 。 

2. 链 路 结构 

HDLC 协议 规定 了 两 种 链 路 结构 : 不 平衡 链 路 结构 和 平衡 链 路 结构 。 

(1) 不 平衡 型 结构 : 不 平衡 型 结构 有 一 个 主 站 和 一 个 或 多 个 从 站 被 连 在 一 条 线路 上 。 

(2) 平衡 型 结构 : 平衡 型 结构 由 两 个 复合 站 的 点 对 点 连接 构成 。 两 个 复合 站 都 具有 
数据 传送 和 链 路 控制 能 力 。 
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3. 数据 响应 方式 

HDLC 协议 有 三 种 数据 响应 方式 。 

1) 正常 响应 方式 (NRM) 

这 是 一 种 不 平衡 型 结构 的 操作 方式 。 在 这 种 操作 模式 中 ， 从 站 只 能 为 了 响应 主 站 的 
命令 帧 而 进行 传输 ， 从 站 在 确切 地 接收 到 来 自主 站 的 允许 传输 命令 后 才 可 以 开始 响应 传 
输 。 响 应 信息 可 以 由 一 个 或 多 个 帧 组 成 ， 同 时 保持 占线 状态 ， 并 指出 哪 一 个 是 最 后 一 帧 。 
从 站 在 发 出 最 后 的 响应 帧 之 后 ， 将 停止 发 送 ， 直 到 再 次 收 到 从 主 站 发 出 的 确切 的 允许 传 
输 的 命令 后 才能 重新 开始 传输 。 在 这 种 方式 中 ， 主 站 负责 管理 整个 链 路 ， 负 责 对 超时 、 
重 发 及 各 类 恢复 操作 的 控制 ， 并 且 有 查询 从 站 和 向 从 站 发 送 命令 的 权利 。 正 常 响应 模式 
适用 于 不 平衡 多 点 探 询 的 链 路 结构 。 

2) 异步 响应 方式 (ARM) 

这 是 一 种 不 平衡 型 结构 的 操作 方式 。 在 这 种 操作 模式 中 ， 在 传输 帧 中 可 以 包含 有 信 
息 ， 或 者 仅 以 控制 为 目的 而 发 送 的 帧 ， 由 从 站 来 控制 超时 和 重 发。 异步 传输 可 以 是 一 帧 
也 可 以 是 多 帧 。 同 为 不 平衡 型 结构 的 操作 方式 ， 异 步 响应 方式 与 正常 响应 方式 的 区 别 在 
于 ,异步 响应 方式 下 从 站 不 必 确 切 地 接收 到 来 自主 站 的 允许 传输 的 命令 就 可 以 开始 传输 。 

3) 异步 平衡 方式 (ABM) 

这 是 一 种 平衡 型 结构 的 操作 方式 。 这 种 方式 下 可 以 传输 一 帧 和 多 帧 。 传 输 是 在 复合 
站 之 间 进 行 的 ， 在 传输 过 程 中 一 个 复合 站 不 必 接 收 到 另 一 个 复合 站 的 允许 就 开始 传输 。 
适用 于 通信 双方 都 是 组 合 站 的 平衡 型 链 路 结构 。 


4. HDLC 帧 格式 
帧 是 数据 链 路 上 传输 的 基本 信息 单位 ，HDLC 协议 的 帧 格式 如 图 1-43 所 示 。 
比特 8 8 8 可 变 16 8 
标志 下 地 址 A 控制 C 信息 I 帧 校 验 FCS 标志 下 


1-43 HDLC 的 帧 格式 


所 有 的 帧 都 使 用 这 种 标准 的 帧 格式 ， 每 个 帧 包括 链 路 控制 信息 和 数据 。 链 路 控制 信 
息 包括 帧 首 和 帧 尾 的 标志 序列 FE、 地 址 字段 A、 控 制 字段 C 及 帧 校 验 序列 FCS。HDLC 
协议 规定 了 长 格式 和 短 格式 两 种 帧 。 长 格式 包括 数据 和 链 路 控制 信息 ， 短 格式 只 包含 链 
路 控制 信息 。 

标志 序列 F: 是 一 个 独特 的 8 位 序列 (01111110)， 表 示 帧 的 开始 和 结束 。 它 也 可 兼 
作 上 一 个 帧 的 结束 标志 和 下 一 个 帧 的 开始 标志 ， 具 有 帧 同步 的 作用 。 标 志 序 列 也 可 用 作 
帧 间 填 充 字 符 。 不 包括 标志 序列 在 内 ， 如 果 一 个 帧 的 长 度 小 于 32 位 ， 则 认为 该 帧 无 效 。 

地 址 字段 A: 在 命令 帧 中 ， 给 出 执行 该 命令 的 次 站 地 址 ; 在 应 答 帧 中 ， 该 字段 给 出 
作出 应 答 的 次 站 地 址 。 通常 地 址 字段 A 为 8 位 , 共有 256 种 编 址 。 为 了 适应 特定 的 环境 ， 
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允许 采用 扩充 地 址 字段 。 具 体 办 法 是 : 保留 每 个 8 位 地 址 的 最 低位 为 0 来 表示 后 面 跟着 
的 8 位 是 该 基本 地 址 的 扩充 地 址 ， 扩 充 地 址 的 格式 与 基本 地 址 相同 ， 依 次 采用 上 述 方法 
可 以 多 次 对 地 址 字段 进行 扩充 。 

控制 字段 C: 用 于 表示 所 使 用 帧 的 类 型 以 及 序列 号 。 该 字段 也 可 以 被 用 来 去 命令 被 
选 站 执行 某 种 操作 ， 或 传递 被 选 站 对 主 站 命令 的 应 答 。 

信息 字段 I[: 表示 链 路 所 要 传输 的 实际 信息 。 它 不 受 格式 或 内 容 的 限制 ， 任 何 合适 
的 长 度 都 可 以 。 通 常 信息 字段 的 实际 长 度 往 往 与 数据 站 设置 的 缓冲 区 有 关 ， 最 大 长 度 是 
通信 信道 差错 率 的 函数 。 

帧 校 验 序列 FCS: 可 以 使 用 16bit 或 32bit 的 帧 校 验 序列 ， 用 于 差错 检测 。 

5. HDLC 帧 类 型 

在 HDLC 中 ， 帧 被 分 为 以 下 三 种 。 

(1) 信息 帧 : 用 于 传输 数据 的 帧 ， 具 有 完全 的 控制 顺序 。 

(2) 监控 帧 : 用 于 实现 监控 功能 的 帧 。 包 括 接收 准备 好 、 接 收 未 准备 好 、 请 求 发 送 、 
选择 发 送 等 监控 帧 。 主 要 完成 回答 、 请 求 传输 、 请 求 暂 停 等 功能 。 

(3) 无 编号 帧 : 用 于 提供 附加 的 链 路 控制 功能 的 帧 。 该 帧 没有 信息 帧 编号 ， 因 此 可 
以 表示 各 种 无 编号 的 命令 和 响应 〈 一 般 情 况 下 ， 各 种 命令 和 响应 都 是 有 编号 的 )， 以 扩充 
主 站 和 从 站 的 链 路 控制 功能 。 

6. HDLC 的 流量 控制 

流量 控制 的 目的 是 克服 通信 拥挤 或 阻塞 现象 ， 保 证 发 送 端的 发 送 数据 速率 与 接收 端 
能 够 接收 的 数据 速率 相 容 。 流 量 控制 方法 有 发 送 等 待 方法 、 预 约 缓冲 区 法 、 滑 动 窗 口 控 
制 方法 、 许 可 证 法 和 限制 管道 容量 法 等 。 

7. HDLC 信息 交换 过 程 

按照 HDLC 协议 , 两 个 通信 站 使 用 交换 线路 的 通信 , 可 以 分 为 5 个 阶段 : 建立 连接 、 
建立 链 路 、 数 据 传输 、 拆 除 链 路 和 拆除 连接 。 如 果 通 信 双 方 采用 专线 连接 ， 则 不 必 建 立 
链 路 的 连接 和 拆除 链 路 的 连接 。 


1.3.5 物理 层 


物理 层 是 OSI 参考 模型 的 最 低层 ， 向 下 直接 与 物理 介质 连接 。 它 是 建立 在 通信 媒体 
基础 上 ， 实 现 设 备 之 间 的 物理 接口 。 

ISO 对 OSI 参考 模型 中 的 物理 层 做 如 下 定义 : 

物理 层 为 建立 、 维 持 与 拆除 数据 链 路 实体 之 间 二 进 制 位 流传 输 的 物理 连接 ， 提 供 机 
械 的 、 电 气 的 、 功 能 的 和 规程 的 特性 。 物 理 连接 可 以 通过 中 继 系统 ， 允 许 进行 全 双 工 或 
半 双 工 的 二 进 制 位 流 的 传输 。 物 理 层 的 数据 服务 单元 是 比特 ， 它 可 以 通过 同步 或 异步 的 
方式 进行 传输 。 
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1. 物理 层 主要 功能 

计算 机 网 络 是 由 许多 物理 设备 和 传输 介质 构成 的 。 但 是 ， 物 理 层 并 不 是 指 这 些 物 理 
设备 或 传输 介质 ， 而 是 有 关 物 理 设备 通过 物理 传输 介质 进行 互 连 的 描述 和 规定 。 物 理 层 
要 尽 可 能 地 屏蔽 掉 各 种 物理 传输 介质 和 通信 手段 的 差异 ， 使 数据 链 路 层 感 觉 不 到 这 些 差 
异 的 存在 。 这 样 ， 数 据 链 路 层 就 不 必 考 虑 具体 的 传输 介质 ， 专 心 致力 于 完成 本 层 的 协议 
和 服务 。 

物理 层 的 作用 就 是 在 一 条 物理 传输 介质 上 ， 实 现 数据 链 路 实体 之 间 各 种 数据 比特 流 
的 透明 传输 。 因 此 ， 物 理 层 应 具有 以 下 功能 。 

1) 物理 连接 的 建立 、 维 持 和 释放 

当 两 个 数据 链 路 实体 之 间 请 求 建立 连接 时 ， 物 理 层 应 能 立即 在 它们 之 间 建 立 相 应 的 
物理 连接 ， 这 个 连接 可 能 要 经 过 多 个 中 继 链 路 实体 。 在 进行 通信 时 ， 要 维持 这 个 连接 。 
通信 结束 ， 物 理 层 将 立即 释放 这 个 连接 。 这 里 建立 或 激活 有 关连 接 的 含义 是 : 当 发 送 端 
发 送 有 关 比 特 时 ， 在 这 条 链 路 的 接收 端 要 做 好 接收 该 比特 的 必要 准备 。 

激活 有 关连 接 的 过 程 就 是 要 准备 好 一 切 必 要 的 资源 供 收 、 发 时 使 用 。 释 放 或 激活 一 
个 连接 ， 则 是 释放 掉 所 使 用 的 资源 ， 为 其 他 连接 使 用 。 

2) 物理 服务 数据 单元 的 传输 

在 物理 层 中 使 用 的 数据 单元 称 为 物理 服务 数据 单元 。 在 物理 连接 上 ， 一 般 都 是 串 行 
传输 ， 即 一 比特 一 比特 地 按时 间 顺 序 传输 , 但 有 时 也 采用 并 行 传输 ， 即 几 比 特 同时 传输 。 
对 于 远 距 离 的 传输 ， 通 常 都 是 串 行 的 ， 只 有 近 距 离 传输 才 采 用 并 行 的 。 物 理 层 要 提供 这 
两 类 物理 服务 数据 单元 的 传输 ， 而 且 还 要 保证 传输 的 顺序 化 。 串 行 传输 的 方式 可 采用 同 
步 传输 方式 ， 也 可 采用 异步 传输 方式 。 当 采用 同步 传输 方式 时 ， 系 统 要 有 同步 功能 进行 
收 、 发 的 同步 ， 当 采用 异步 传输 方式 时 ， 系 统 则 应 配置 异步 适配器 来 完成 数据 的 发 送 和 
接收 功能 。 

3) 物理 层 管理 

物理 层 管理 是 指 完成 物理 层 的 某 些 管理 事务 ， 如 发 送 和 接收 的 控制 、 异 常情 况 的 处 
E、 故 障 情况 的 报告 等 。 

2. 物理 层 协 议 

物理 层 协议 规定 了 与 建立 、 维持 与 拆除 物理 信道 有 关 的 一 些 特性 。 这 些 特性 分 别 是 : 
机 械 特性 、 电 气 特 性 、 功 能 特性 和 规程 特性 。 

1) 机 械 特 性 

机 械 特 性 是 指 实体 间 硬 件 连 接 接 口 的 特性 ， 它 主要 考虑 : 接口 的 形状 、 大 小 ， 接 口 
引 脚 的 个 数 、 功 能 、 规 格 ， 引 脚 的 分 布 ， 相 应 通信 媒体 的 参数 和 特性 等 。 

2) 电气 特性 

电气 特性 规定 了 在 物理 层 传输 的 二 进 制 比特 流 信 号 电 平 的 高 低 、 阻 抗 匹 配 、 传 输 速 


be 
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率 和 传输 距离 等 。 

3) 功能 特性 

功能 特性 主要 反映 了 接口 电路 的 功能 ， 即 物理 接口 各 条 信号 线 的 用 途 。 

功能 特性 标准 主要 包括 接口 线 功能 规定 方法 和 接口 线 功能 分 类 两 方面 的 内 容 。 

4) 规程 特性 

规程 特性 反映 了 利用 接口 进行 传输 位 流 的 全 过 程 及 事件 发 生 的 可 能 顺序 ， 它 涉及 到 
信号 传输 方式 。 

在 物理 层 最 常用 的 两 种 物理 层 标 准 是 : EIA-232-E 接口 标准 和 RS-449 接口 标准 。 


1.3.6 ”覆盖 网 与 对 等 网 

目前 大 多 数 网 络 上 的 应 用 都 是 基于 传统 的 客户 机 /服务 器 模式 (Client/Server，C/S): 
服务 器 专门 提供 某 种 服务 ， 用 户 通 过 客户 机 访问 服务 器 来 获得 服务 ， 例 如 收发 邮件 、 浏 
览 网 页 等 。C/S 模式 使 得 网 络 上 的 资源 向 服务 器 端 集中 ， 用 户 的 通信 高 度 依赖 于 服务 器 ， 


用 户 之 间 无 法 直接 交流 信息 。 对 等 网 (P2P 网 、P2P 覆盖 网 ) 则 是 基于 对 等 架构 的 工作 
模式 。 客 户 机 /服务 器 模式 与 P2P 模式 的 结构 如 图 1-44 所 示 。 


服务 器 


客户 机 ”客户 机 客户 机 ”客户 机 


客户 机 /服务 器 模式 


图 1-44 客户 机 /服务 器 模式 与 P2P 模式 


P2P 是 Peer-to-Peer 的 缩写 。P2P 网 中 所 有 参与 系统 的 节点 处 于 完全 对 等 的 地 位 ， 也 
可 以 理解 为 在 覆盖 网 络 中 的 每 一 个 节点 都 同时 扮演 传统 的 C/S 结构 中 的 服务 器 和 客户 端 
角色 ， 在 向 其 他 节点 提供 服务 的 同时 ， 也 接受 来 自 其 他 节点 的 服务 。 因 而 ，P2P 具有 如 
下 一 些 特性 : 

(1) peer 知道 彼此 的 存在 和 位 置 。 

(2) peer 既 可 以 作为 Client 而 存在 ， 也 可 以 作为 Server 而 存在 。 

(3) 多 个 peer 可 以 形成 一 个 peer 组 ， 并 进而 形成 覆盖 网 。 

(4) peer 都 运行 在 这 个 虚拟 的 覆盖 网 上 。 

P2P 的 这 些 特性 使 得 P2P 与 C/S 模式 相 比 ， 可 以 大 大 改善 资源 的 流量 分 布 ， 解 决 网 
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络 拥塞 和 带宽 的 瓶颈 问题 ， 减 缓存 储 服务 器 的 响应 压力 。 

P2P 网 主要 完成 : @ 寻找 到 网 络 上 其 他 的 节点 ，@ 发 现 一 个 节点 提供 何 种 服务 ; 
@ 从 一 个 节点 获取 状态 信息 ; @ 触发 一 个 节点 的 一 个 服务 ; @ 创建 、 加 入 或 离开 覆盖 
网 ; @ 创建 节点 间 的 数据 连接 : @ 实施 到 其 他 节点 的 路 由 。 

当前 有 很 多 种 P2P 网 络 并 且 每 种 P2P 网 络 有 着 不 同 的 特性 ， 根 据 对 象 请 求 机 制 和 
P2P 逻辑 拓扑 的 不 同 ， 当 前 P2P 体系 结构 可 以 分 为 三 种 。 

(1) 集中 式 P2P 网 络 。 

所 有 对 象 (peer) 的 索引 保存 在 一 台 集中 的 服务 器 上 。 每 个 新 加 入 的 节点 需要 通知 
服务 器 它 所 保存 的 对 象 信息 ， 以 后 其 他 节点 只 需要 从 服务 器 查询 它 所 要 对 象 所 在 节点 的 
地 址 。 这 种 P2P 结构 简单 易 部 署 。 尽 管 有 多 个 并 行 服务 器 ， 但 它 有 单 节 点 失效 的 问题 。 

(2) 非 集中 式 非 结构 化 P2P 网 络 。 

对 象 请 求 是 分 布 的 ， 轴 辑 P2P 拓扑 通常 是 随机 的 无 结构 网 络 。 请 求 一 步 一 步 地 在 网 
络 中 执行 直到 请 求 成 功 、 失 败 或 超时 。 没 有 单 点 失效 ， 但 是 请 求 效率 可 能 很 低 。 

(3) 分 布 式 结构 化 P2P 网 络 。 

对 象 请 求 也 是 分 布 的 ， 并 且 P2P 的 逻辑 拓扑 是 某 种 结构 的 拓扑 ， 如 网 状 《mesh)、 
环 状 (ring)、d 维 圆 环 面 (d-dimension torus) 和 蝴蝶 状 〈butterfly) 等 。 这 些 结构 化 的 
拓扑 通常 用 分 布 式 哈 希 表 (Distributed Hashing Table，DHT) 构建 。 对 象 请 求 也 是 在 结 
构 化 拓扑 上 逐 跳 执行 ， 在 理想 情况 下 ， 能 保证 在 有 限 跳 后 执行 成 功 。 

根据 时 间 顺 序 和 目的 ， 当 前 的 P2P 网 络 可 分 为 三 代 。 

(1) 第 一 代 : 早期 的 P2P 网 络 ， 以 容易 且 快 速 部 署 为 目的 。 这 代 网 络 简 单 ， 但 其 可 
展 性 差 或 请 求 效率 低 。 

(2) 第 二 代 : 第 二 代 P2P 网 络 常 利 用 DHT 技术 来 实现 更 好 的 扩展 性 和 更 高 的 请 求 
效率 ， 并 提供 负载 平衡 和 确定 性 查询 保证 。 尽 管 如 此 ， 弹 性 或 容错 性 并 不 是 很 好 ， 特 别 
是 在 恶意 攻击 的 情况 下 。 

(3) 第 三 代 : 新 近 提 出 的 P2P 网 络 在 假设 节点 以 一 定 的 失效 概率 离开 的 前 提 下 ， 目 
的 在 于 提供 高 弹性 。 产 生 弹 性 的 常用 方法 有 : 复制 、 扩 展 节点 之 间 的 连接 数 以 及 一 些 特 
别 的 结构 化 拓扑 。 第 二 代 和 第 三 代 P2P 网 络 通常 是 分 布 的 结构 化 覆盖 网 络 。 


1.4 ”网 络 设备 与 网 络 软件 


1.4.1 网 卡 


1. 网 卡 的 概念 
网 络 接口 卡 (Network Interface Card，NIC) 又 称 网 络 适配器 (Network Interface 
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Adapter，NIA)， 简 称 网 卡 。 用 于 实现 联网 计算 机 和 网 络 电缆 之 间 的 物理 连接 ， 为 计算 机 
之 间 相 互通 信 提 供 一 条 物理 通道 ， 并 通过 这 条 通道 进行 高 速 数据 传输 。 无 论 是 双 绞 线 连 
接 、 同 轴 电 缆 连 接 还 是 光纤 连接 ， 都 必须 借助 于 网 卡 才能 实现 数据 的 通信 。 在 局 域 网 中 
每 一 台 联 网 计算 机 都 需要 安装 一 块 或 多 块 网 卡 ， 通 过 介质 连接 器 将 计算 机 接 入 网 络 电缆 
系统 。 

2. 网 卡 的 组 成 

以 最 常见 的 PCI 接口 的 网 卡 为 例 ， 一 块 网 卡 主要 由 PCB 线路 板 、 主 芯片 、 数 据 汞 、 
金 手指 〈 总 线 插 槽 接口 ) 、BOOTROM、EEPROM、 晶振 、RJ-45 接口 、 指 示 灯 、 固 定 
片 等 等 ， 以 及 一 些 二 极 管 、 电 阻 电容 等 组 成 。 如 图 1-45 所 示 ， 展 示 了 一 个 PCI 网 卡 的 解 
剖 图 。 


网 卡 解剖 图 


CH 固定 片 ”二 极 管 


图 1-45 PCI 网 卡 的 解剖 图 


3. 网 卡 的 功能 

网 卡 完成 物理 层 和 数据 链 路 层 的 大 部 分 功能 ， 包 括 网 卡 与 网 络 电缆 的 物理 连接 、 介 
质 访问 控制 (如 CSMA/CD) 、 数 据 帧 的 拆 装 、 帧 的 发 送 与 接收 、 错 误 校 验 、 数 据 信 号 
的 编 /解码 (如 曼彻斯特 代码 的 转换 ) 、 数 据 的 串 、 并 行 转换 等 功能 。 网 卡 就 像 一 个 装 外 
货 的 小 码头 ， 负 责 计算 机 和 网 线 之 间 的 数据 收发 工作 。 

对 于 网 卡 而 言 ， 每 块 网 卡 都 有 一 个 唯一 的 地 址 ， 通 常 称 为 MAC 地 址 或 物理 地 址 ， 
是 网 卡 在 生产 时 由 厂家 烧 入 ROM 中 的 。 


1.4.2 ”交换 机 


在 计算 机 网 络 系统 中 ，“ 交 换 ” 是 在 对 共享 工作 模式 改进 的 基础 上 提出 的 。 交 换 机 
也 叫 多 端口 网 桥 ， 工 作 在 数据 链 路 层 ， 能 够 识别 帧 的 内 容 。 

1. 交换 机 的 内 部 结构 

交换 机 拥有 一 条 很 高 带宽 的 背部 总 线 和 内 部 交换 矩阵 。 交 换 机 在 同一 时 刻 可 进行 多 
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个 端口 对 之 间 的 数据 传输 。 每 一 端口 都 可 视 为 独立 的 网 段 ， 连 接 在 其 上 的 网 络 设备 独自 
享有 全 部 的 带宽 ， 无 须 同 其 他 设备 竞争 使 用 。 其 内 部 结构 如 图 1-46 所 示 。 


SN 


交换 机 


计算 机 


图 1-46 交换 机 (多 端口 网 桥 ) 的 内 部 结构 


2. 交换 机 的 功能 

交换 机 主要 有 以 下 三 个 功能 。 

。 学 习 : 交换 机 对 每 一 端口 相连 设备 的 MAC 地 址 进行 识别 , 并 将 这 些 设 备 的 MAC 
地 址 同 相 应 端口 的 映射 关系 存放 在 自己 缓存 中 的 MAC 地 址 表 中 。 

。 转发 /过 滤 : 当 一 个 数据 帧 的 目的 地 址 在 MAC 地 址 表 中 有 了 映射 关系 存在 时 ， 它 被 
转发 到 响应 的 端口 而 不 是 所 有 端口 (如 该 数据 帧 为 广播 /组 播 帧 则 转发 至 所 有 
端口 )。 

。 消除 回路 : 当 交 换 机 包括 一 个 元 余 回 路 时 ， 交 换 机 通过 生成 树 协 议 避 免 回 路 的 产 
生 ， 同 时 允许 存在 后 备 路 径 。 

使 用 交换 机 也 可 以 把 网 络 “ 分 段 ” 通过 对 照 地 址 表 , 交换 机 只 允许 必要 的 网 络 流量 
通过 交换 机 。 通 过 交换 机 的 过 滤 和 转发 ， 可 以 有 效 的 隔离 广播 风暴 ， 减 少 误 包 和 错 包 的 
出 现 ， 避 免 共 享 冲突 。 

3. 交换 机 的 工作 原理 

交换 机 是 依赖 于 一 张 MAC 地 址 与 端口 的 映射 表 (Context Address Map，CAM) 来 
进行 工作 的 ， 如 图 1-47 所 示 。 

交换 机 是 一 种 基于 MAC 地 址 识别 ， 能 完成 封装 转发 数据 帧 功能 的 网 络 设备 。 交 换 
机 可 以 “学 习 ”MAC 地 址 ， 并 把 其 存放 在 内 部 地 址 表 中 ， 通 过 在 数据 帧 的 始 发 者 和 目 
标 接收 者 之 间 建 立 临时 的 交换 路 径 ， 使 数据 帧 直接 由 源 地 址 到 达 目 的 地 址 。 
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Ee D 
帧 格式 帧 头 目的 MAC 源 MAC 数据 帧 尾 
图 1-47 交换 机 工作 原理 


如 图 1-47 所 示 , 数据 帧 中 包含 了 目的 MAC 和 源 MAC, 源 MAC 就 是 发 送 数据 帧 的 
计算 机 的 网 卡 地 址 ， 目 的 MAC 就 是 接收 数据 帧 的 计算 机 的 网 卡 地 址 。 交 换 机 刚 开 机 时 ， 
这 张 MAC 地 址 与 端口 的 映射 表 是 空 的 ; 但 计算 机 A 想 发 送 数据 给 B 时 ， 数据 帧 的 目的 
MAC 为 B 的 MAC, 源 MAC 为 A 的 MAC， 交换机 并 不 知道 B 是 接 在 哪个 端口 上 ， 所 
以 数据 会 从 2，3，4， 发 送出 去 以 保证 计算 机 B 能 够 接收 到 ， 然 而 由 于 交换 机 是 从 端口 
1 收 到 A 发 送 的 数据 ， 即 在 帧 中 的 源 MAC 是 A 的 MAC 地 址 ， 所 以 交换 机 就 把 A 的 
MAC 记录 在 端口 1 上 ; 但 其 他 计算 机 例如 计算 机 B) 要 发 送 数据 给 A 时 ， 数 据 帧 的 
目的 MAC 为 A 的 MAC， 源 MAC 为 B 的 MAC， 交 换 机 已 经 知道 A 的 MAC 在 端口 
了 ， 所 以 这 时 数据 只 会 从 端口 1 发 送出 去 ， 而 不 会 从 端口 3，4 发 送出 去 ; 同时 由 于 交换 
机 是 从 端口 2 收 到 B 发 送 的 数据 ， 交 换 机 也 会 往 表 中 添加 一 条 记录 ， 指 明 B 的 MAC 在 
端口 2 上 , 下 次 计算 机 A 发 送 给 B 时 ,数据 只 会 从 端口 2 发 送出 去 了 , 而 不 是 像 以 前 一 
样 从 其 他 所 有 的 端口 发 送出 去 。 

交换 机 的 工作 原理 : 交换 机 根据 收 到 数据 帧 中 的 源 MAC 地 址 建立 该 地 址 同 交换 机 
端口 的 映射 关系 并 将 其 写 入 MAC 地 址 表 中 。 当 一 台 计 算 机 发 送 过 一 次 数据 帧 时 ， 就 被 
交换 机 记录 下 来 ， 如 果 有 其 他 的 计算 机 向 这 人 台 计 算 机 发 送 数据 时 ， 数 据 只 会 从 特定 端口 
转发 出 去 ， 而 不 会 从 其 他 端口 转发 。 如 果 交 换 机 收 到 的 数据 帧 中 的 目的 MAC 地 址 不 在 
MAC 地 址 表 中 ， 则 向 所 有 端口 转发 。 另 外 ， 广 播 帧 和 组 播 帧 也 向 所 有 的 端口 转发 。 

从 以 上 的 分 析 可 知 ， 如 果 交 换 机 已 经 完成 了 MAC 地 址 与 端口 映射 表 的 建立 ， 计 算 
机 A 发 送 数据 给 B 时 ， 端 口 3，4 并 无 数据 存在 ， 这 就 意味 着 计算 机 C 可 以 同时 发 送 数 
据 给 D。A 和 C 不 会 因为 同时 发 送 数据 而 产生 冲突 ， 即 它们 不 在 同一 冲突 域 。 这 一 点 
和 集线器 有 着 很 大 的 不 同 ， 交 换 机 所 连接 的 计算 机 可 以 独占 端口 的 带宽 。 交 换 机 的 这 个 
特性 可 以 概括 为 : 交换 机 可 以 隔离 冲突 域 ， 交 换 机 的 每 个 端口 就 是 一 个 小 的 冲突 域 。 

交换 机 能 够 分 析 计算 机 所 发 送 的 数据 帧 中 包含 的 源 MAC 〈 即 发 送 者 ) 和 目的 MAC 
( 即 接收 者 )， 并 用 来 建立 和 更 新 映射 表 。 交 换 机 中 MAC 地 址 与 端口 的 映射 表 中 的 记录 
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实际 上 有 一 定 的 时 效 性 ， 通 常 为 300s， 如 果 一 条 记录 在 300s 内 没有 得 到 更 新 ， 记 录 就 
会 被 删除 。 这 样 的 好 处 是 防止 CAM 表 被 迅速 占 满 ， 同 时 也 是 为 了 使 得 计算 机 从 一 个 端 
口 移动 到 另 一 端口 上 后 还 可 以 正常 工作 。 

当 交 换 机 收 到 目的 MAC 为 QXFFFFFFFFFFFF〈 广 播 地 址 ) 的 数据 帧 时 ， 它 会 把 该 
数据 从 所 有 端口 转发 出 去 ， 也 就 是 说 交换 机 不 能 隔离 广播 域 。 因 此 如 果 网 络 中 的 计算 机 
数量 较 多 ， 只 要 有 一 台 计 算 机 发 出 广播 ， 网 络 中 就 会 充斥 着 大 量 的 广播 包 ， 从 而 影响 正 
常 的 数据 帧 的 传输 。 因 此 ， 大 型 的 网 络 仅仅 采用 交换 机 来 构建 也 是 不 合适 的 。 

4. 第 二 层 交 换 与 第 三 层 交 换 

1) 第 二 层 交 换 

第 二 层 交 换 是 以 硬件 的 方式 执行 网 桥 的 功能 。 上 述 内 容 涉及 的 都 是 第 二 层 交 换 
技术 。 

2) 第 三 层 交换 

第 三 层 交 换 是 将 路 由 功能 集成 到 交换 机 中 ， 在 交换 机 内 部 实现 了 路 由 ， 提 高 了 网 络 
的 整体 性 能 。 但 它 并 不 是 简单 的 把 路 由 器 设备 的 硬件 及 软件 简单 地 释 加 在 局 域 网 交换 机 
上 。 简 单 地 说 ， 三 层 交换 技术 就 是 ， 二 层 交 换 技 术 十 三 层 转发 技术 。 

三 层 交换 机 在 对 第 一 个 数据 流 进行 路 由 后 , 会 产生 一 个 MAC 地 址 与 卫 地 址 的 映射 
表 ， 当 同样 的 数据 流 再 次 通过 时 ， 将 根据 此 表 直 接 从 二 层 交 换 而 不 是 再 次 路 由 ， 提 供 线 
速 性 能 , 从 而 消除 了 路 由 器 进行 路 由 选择 而 造成 网 络 的 延迟 , 提高 了 数据 包 转 发 的 效率 ， 
消除 了 路 由 器 可 能 产生 的 网 络 瓶颈 问题 。 

5. 交换 机 的 类 型 

根据 网 络 覆 盖 范 围 划分 : 局 域 网 交换 机 和 广域网 交换 机 。 

根据 传输 介质 和 传输 速度 划分 : 以 太 网 交换 机 、 快 速 以 太 网 交换 机 、 千 兆 以 太 网 交 
换 机 、10 千 兆 以 太 网 交换 机 、ATM 交换 机 、FDDI 交换 机 和 令 牌 环 交换 机 。 

根据 交换 机 应 用 网 络 层次 划分 : 企业 级 交换 机 、 校 园 网 交换 机 、 部 门 级 交换 机 和 工 
作 组 交换 机 、 桌 机 型 交换 机 。 

根据 交换 机 端口 结构 划分 : 固定 端口 交换 机 和 模块 化 交换 机 。 

根据 工作 协议 层 划分 : 第 二 层 交 换 机 、 第 三 层 交 换 机 和 第 四 层 交 换 机 。 

根据 是 否 支持 网 管 功能 划分 : 网 管 型 交换 机 和 非 网 管 型 交换 机 。 

6. 交换 机 堆 双 与 级 联 

堆 琶 (stack) 和 级 联 (Cuplink) 是 多 台 交 换 机 或 集线器 连接 在 一 起 的 两 种 方式 。 它 
们 的 主要 目的 是 增加 端口 密度 。 但 它们 的 实现 方法 是 不 同 的 。 简 单 地 说 ， 级 联 可 通过 一 
根 双 绞 线 在 任何 网 络 设备 厂家 的 交换 机 之 间 , 集线器 之 间 , 或 交换 机 与 集线器 之 间 完 成 。 
而 堆 倒 只 有 在 自己 厂家 的 设备 之 间 ， 且 此 设备 必须 具有 堆 县 功能 才 可 实现 。 级 联 只 需 单 
做 一 根 双 绞 线 (或 其 他 媒介 ), 堆 又 需要 专用 的 堆 又 模块 和 堆 又 线 缆 , 而 这 些 设备 可 能 需 
要 单独 购买 。 交 换 机 的 级 联 在 理论 上 是 没有 级 联 个 数 限制 的 (注意 : 集线器 级 联 有 个 数 
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限制 ， 且 10M 和 100M 的 要 求 不 同 )， 而 堆 全 各 个 厂家 的 设备 会 标明 最 大 堆 生 个 数 。 以 
下 分 别 介绍 其 实现 原理 及 详细 连接 过 程 。 

1) 交换 机 堆 悉 

此 种 连接 方式 主要 应 用 在 大 型 网 络 中 对 端口 需求 比较 大 的 情况 下 使 用 。 交 换 机 的 堆 
倒是 扩展 端口 最 快捷 、 最 便利 的 方式 ， 同 时 堆 释 后 的 带宽 是 单一 交换 机 端口 速率 的 几 十 
倍 。 但 是 ， 并 不 是 所 有 的 交换 机 都 支持 堆 倒 的 ， 这 取决 于 交换 机 的 品牌 、 型 号 是 否 支持 
堆 合 ， 并 且 还 需要 使 用 专门 的 堆 合 电缆 和 堆 生 模块 ， 最 后 还 要 注意 同一 堆 倒 中 的 交换 机 
必须 是 同一 品牌 。 

堆 合 主要 通过 厂家 提供 的 一 条 专用 连接 电线， 从 一 台 交 换 机 的 UP 堆 故 端口 直接 连 
接 到 另 一 台 交 换 机 的 DOWN 堆 倒 端口 。 堆 谷中 的 所 有 交换 机 可 视 为 一 个 整体 的 交换 机 
来 进行 管理 。 

堆 县 的 优点 是 不 会 产生 性 能 瓶 2 开 ， 因 为 通过 堆 又 ， 可 以 增加 交换 机 的 背 板 带宽 ， 不 
会 产生 性 能 瓶颈 。 通过 堆 又 可 以 在 网 络 中 提供 高 密度 的 集中 网 络 端口 , 根据 设备 的 不 同 ， 
一 般 情况 下 最 大 可 以 支持 8 层 堆 倒 ， 这 样 就 可 以 在 某 一 位 置 提 供 上 百 个 端口 。 堆 释 后 的 
设备 在 网 络 管理 过 程 中 就 变 成 了 一 个 网 络 设备 ， 只 要 赋予 一 个 IP 地 址 ,方便 管理 ， 也 节 
约 管理 成 本 。 堆 全 的 缺点 主要 是 受 设备 限制 ， 并 不 是 所 有 的 交换 机 都 支持 堆 释 的 ， 不 同 
厂家 ， 不 同型 号 ， 进 行 堆 释 需要 特定 的 设备 的 支持 。 受 距离 限制 ， 因 为 受到 堆 印 线 线 长 
度 的 限制 ， 堆 又 的 交换 机 之 间 的 距离 要 求 很 近 。 还 有 就 是 不 同 厂家 的 设备 有 时 不 能 很 好 
的 兼容 ， 因 此 不 同 厂 家 的 设备 想 要 进行 堆 释 非常 困难 。 

2) 交换 机 级 联 

级 联 是 最 常见 的 连接 方式 ， 就 是 使 用 网 线 将 两 个 交换 机 进行 连接 。 连 接 的 结果 是 ， 
在 实际 的 网 络 中 ， 它 们 仍然 各 自 工作 ， 仍 然 是 两 个 独立 的 交换 机 。 需 要 注意 的 是 交换 机 
不 能 无 限制 级 联 ， 超 过 一 定数 量 的 交换 机 进行 级 联 ， 最 终 会 引起 广播 风暴 ， 导 致 网 络 性 
能 严重 下 降 。 级 联 又 分 为 以 下 两 种 : 

(1) 使 用 普通 端口 级 联 。 

所 谓 普通 端口 就 是 通过 交换 机 的 某 一 个 常用 端口 (如 RJ-45 端口 ) 进行 连接 。 需 要 
注意 的 是 ， 这 时 所 用 的 连接 双 绞 线 要 用 反 线 ， 即 是 说 双 绞 线 的 两 端 要 跳 线 (第 1-3 与 2-6 
线 脚 对 调 )。 

(2) 使 用 Uplink 端口 级 联 。 

在 所 有 交换 机 端口 中 ， 都 会 在 旁边 包含 一 个 Uplink 端口 。 此 端口 是 专门 为 上 行 连接 
提供 的 ， 只 需 通过 直通 双 绞 线 将 该 端口 连接 至 其 他 交换 机 上 除 “Uplink 端口 ”外 的 任意 
端口 即 可 注意， 并 不 是 Uplink 端口 的 相互 连接 )。 

级 联 的 优点 是 可 以 延长 网 络 的 距离 ， 理 论 上 可 以 通过 双 绞 线 和 多 级 的 级 联 方式 无 限 
远 的 延长 网 络 距离 ， 级 联 后 ， 在 网 络 管理 过 程 中 仍然 是 多 个 不 同 的 网 络 设备 。 另 外 级 联 
基本 上 不 受 设备 的 限制 ， 不 同 厂家 的 设备 可 以 任意 级 联 。 级 联 的 缺点 就 是 多 个 设备 的 级 
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联 会 产生 级 联 瓶 颈 。 例 如 ， 两 个 百 兆 交换 机 通过 一 根 双 绞 线 级 联 ， 这 时 它们 的 级 联 带 宽 
是 百 兆 ， 这 样 不 同 交换 机 之 间 的 计算 机 要 通信 ， 都 只 能 通过 这 百 兆 带宽 。 

综合 以 上 两 种 方式 来 看 , 交换 机 的 级 联 方式 实现 简单 , 只 需 一 根 普通 的 双 绞 线 即 可 ， 
节约 成 本 而 且 基 本 不 受 距 离 的 限制 ， 而 堆 从 方式 投资 相对 较 大 ， 且 只 能 在 很 短 的 距离 内 
连接 ， 实 现 起 来 比较 困难 。 

但 也 要 认识 到 ， 堆 共 方 式 比 级 联 方 式 具 有 更 好 的 性 能 ， 信 号 不 易 衰 竭 ， 且 通过 堆肥 
方式 ， 可 以 集中 管理 多 台 交 换 机 ， 大 大 简化 了 管理 工作 量 ， 如 果实 在 需要 采用 级 联 ， 也 
最 好 选用 Uplink 端口 的 连接 方式 。 因 为 这 可 以 在 最 大 程度 上 保证 信号 强度 ， 如 果 是 普通 
端口 之 间 的 连接 ， 必 定 会 使 网 络 信号 严重 受 损 。 


1.4.3 路 由 器 


1. 路 由 器 有 关 概 念 

路 由 器 是 属于 网 络 层 的 互联 设备 ,用 于 连接 多 个 逻辑 上 分 开 的 网 络 ， 所 谓 逻 辑 网 络 
就 是 拥有 独立 网 络 地 址 的 网 络 。 

2. 路 由 器 的 构成 

路 由 器 的 构成 如 图 1-48 所 示 。 


路 由 选择 处 理 机 

网 路 由 选择 协议 

2 数据 链 路 层 Ee 两 冰 
选择 


1 一 一 物理 层 路 由 表 


人才 


a 


图 1-48 路 由 器 的 组 成 


3. 路 由 器 的 功能 
路 由 器 主要 有 以 下 几 种 功能 。 
。 网 络 互 连 : 路 由 器 支持 各 种 局 域 网 和 广域网 接口 , 主要 用 于 互 连 局 域 网 和 广域网 。 
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。 路 由 选择 : 通过 路 由 器 互 连 在 一 起 的 网 络 ， 如 果 一 个 网 络 中 的 主机 要 向 另 一 个 网 
络 的 主机 发 送 数 据 包 ， 路 由 器 就 会 分 析 源 地 址 和 目的 节点 地 址 中 的 网 络 号 ， 找 出 
一 条 最 佳 的 、 最 经 济 、 最 快捷 的 一 条 通信 路 径 。 
。 分 组 转发 : 接收 节点 发 来 的 数据 包 ， 然 后 根据 数据 包 中 的 源 地 址 和 目的 地 址 ， 对 
照 自己 缓存 中 的 路 由 表 ， 把 数据 包 直 接 转发 到 目的 节点 。 
。 拆 分 和 包装 数据 包 : 路 由 器 在 转发 数据 包 的 过 程 中 ， 由 于 网 络 带宽 等 因素 ， 按 照 
预定 的 规则 把 大 的 数据 包 分 解 成 适当 大 小 的 数据 包 ， 到 达 目 的 地 后 再 把 分 解 的 数 
据 包 包装 成 原 有 形式 。 
。 拥塞 控制 : 为 了 保证 整个 网 络 的 传输 效率 ， 路 由 器 防止 过 多 的 数据 注入 网 络 。 
。 网 络 管理 : 路 由 器 提供 包括 配置 管理 、 性 能 管理 、 容 错 管理 和 流量 控制 等 功能 。 
另外 路 由 器 还 有 网 络 计 费 的 功能 。 
4. 路 由 器 工作 原理 
1-49 中 局 域 网 1 中 的 源 节点 101 生成 了 一 个 或 多 个 分 组 ， 这 些 分 组 带 有 源 卫 地 
址 与 目的 他 地 址 ,如 果 局 域 网 1 中 的 101 节点 要 向 局 域 网 3 中 的 目的 节点 104 发 送 数据 ， 
那么 它 只 需 按 正常 工作 方式 将 带 有 源 卫 地 址 与 目的 IP 地 址 分 组 装配 成 帧 发 送出 去 。 连 
接 在 局 域 网 1 的 路 由 器 接收 到 来 自 源 节点 101 的 帧 后 ， 由 路 由 器 的 网 络 层 检查 分 组 头 ， 
根据 分 组 的 目的 瑟 地 址 去 查 路 由 表 , 确定 该 分 组 输出 路 径 。 路 由 器 确定 该 分 组 的 目的 节 
点 在 局 域 网 3， 它 会 将 该 分 组 发 送 到 目的 节点 所 在 的 局 域 网 。 


局 域 网 1 


。|L_C.104 | data 局 域 网 3 


图 1-49 路 由 器 工作 原理 


一 般 来 说 ， 路 由 器 的 主要 工作 是 对 数据 包 进 行 存储 转发 ， 具 体 过 程 如 下 。 
第 一 步 ， 当 数据 包 到 达 路 由 器 ， 根 据 网 络 物理 接口 的 类 型 ， 路 由 器 调用 相应 的 链 路 
层 功能 模块 ， 以 解释 处 理 此 数据 包 的 链 路 层 协议 报头 。 这 一 步 处 理 比较 简单 ， 主 要 是 对 
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数据 的 完整 性 进行 验证 ， 如 CRC 校 验 、 帧 长 度 检查 等 。 

第 二 步 ， 在 链 路 层 完成 对 数据 帧 的 完整 性 验证 后 ， 路 由 器 开始 处 理 此 数据 帧 的 人 P 
层 。 这 一 过 程 是 路 由 器 功能 的 核心 。 根 据 数据 帧 中 IP 包头 的 目的 人 P 地 址 ， 路 由 器 在 路 
由 表 中 查找 下 一 跳 的 人 地 址 ， 同 时 ， 卫 数据 包头 的 TTL (time to live) 域 开始 减 数 ， 并 
重新 计算 校 验 和 〈checksumy) 。 

第 三 步 ， 根 据 路 由 表 中 所 查 到 的 下 一 跳 人 P 地 址 ， 将 卫 数据 包 送 往 相 应 的 输出 链 路 
层 ， 被 封装 上 相应 的 链 路 层 包 头 ， 最 后 经 输出 网 络 物理 接口 发 送出 去 。 

简单 地 说 ， 路 由 器 的 主要 工作 就 是 为 经 过 路 由 器 的 每 个 数据 包 寻 找 一 条 最 佳 传 输 路 
径 ， 并 将 该 数据 包 有 效 地 传送 到 目的 站 点 。 由 此 可 见 ， 选 择 最 佳 路 径 策略 或 叫 选择 最 佳 
路 由 算法 是 路 由 器 的 关键 所 在 。 为 了 完成 这 项 工作 ， 在 路 由 器 中 保存 着 各 种 传输 路 径 的 
相关 数据 一 一 路 由 表 (routing table)， 供 路 由 选择 时 使 用 。 上 述 过 程 描述 了 路 由 器 的 主 
要 而 且 关 键 的 工作 过 程 ， 但 没有 说 明 其 他 附加 性 能 ， 例 如 访问 控制 、 网 络 地 址 转换 、 排 
队 优 先 级 等 。 


1.4.4 ”网关 


1. 网 关 的 概念 

网 关 又 叫 协议 转换 器 , 是 一 种 复杂 的 网 络 连接 设备 , 可 以 支持 不 同 协 议 之 间 的 转换 ， 
实现 不 同 协议 网 络 之 间 的 互 连 。 网 关 具 有 对 不 兼容 的 高 层 协议 进行 转换 的 能 力 ， 为 了 实 
现 异 构 设 备 之 间 的 通信 ， 网 关 需 要 对 不 同 的 链 路 层 、 专 用 会 话 层 、 表 示 层 和 应 用 层 协 议 
进行 翻译 和 转换 。 

网 关 主 要 用 于 不 同体 系 结构 的 网 络 或 者 局 域 网 与 主机 系统 的 连接 。 在 互 连 设备 中 
它 最 为 复杂 ， 一 般 只 能 进行 一 对 一 的 转换 ， 或 是 少数 几 种 特定 应 用 协议 的 转换 。 网 关 一 
般 是 一 种 软件 产品 。 目 前 ， 网 关 已 成 为 网 络 上 每 个 用 户 都 能 访问 大 型 主机 的 通用 工具 。 

2. 网 关 的 分 类 

网 关 的 分 类 主要 有 三 种 : 协议 网 关 、 应 用 网 关 、 安 全 网 关 。 

。 协议 网 关 : 协议 网 关 通 常 在 使 用 不 同 协议 的 网 络 区域 间 做 协议 转换 。 

。 应 用 网 关 : 应 用 网 关 是 在 使 用 不 同 数据 格式 间 翻 译 数据 的 系统 。 

。 安全 网 关 : 安全 网 关 是 各 种 技术 的 融合 ， 具 有 重要 且 独 特 的 保护 作用 ， 其 范围 从 

协议 级 过 滤 到 十 分 复杂 的 应 用 级 过 滤 。 


1.4.5 无线 接 人 点 
无 线 接 入 点 (Access Point，AP) 是 一 个 包含 单纯 性 无 线 接 入 点 (无 线 AP) 和 无 线 


路 由 器 ( 含 无 线 网 关 、 无 线 网 桥 〉 等 类 设备 的 统称 。 
单纯 性 无 线 AP 就 是 一 个 无 线 的 交换 机 ， 仅 仅 是 提供 一 个 无 线 信号 发 射 的 功能 。 单 
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纯 性 无 线 AP 的 工作 原理 是 将 网 络 信 号 通过 双 绞 线 传送 过 来 ， 经 过 AP 产品 的 编译 ， 将 
电信 号 转换 成 为 无 线 电信 号 发 送出 来 ， 形 成 无 线 网 的 覆盖 。 根 据 不 同 的 功率 ， 其 可 以 实 
现 不 同 程度 、 不 同 范围 的 网 络 覆盖 ， 一 般 无 线 AP 的 最 大 覆盖 距离 可 达 300m。 

多 数 单纯 性 无 线 AP 本 身 不 具备 路 由 功能 ， 目 前 大 多 数 的 无 线 AP 都 支持 多 用 户 
〈30 一 100 台 计 算 机 ) 接 入 、 数 据 加 密 、 多 速率 发 送 等 功能 ， 在 家 庭 、 办 公 室内 ， 一 个 无 
线 AP 便 可 实现 所 有 计算 机 的 无 线 接 入 。 

单纯 性 无 线 AP 亦 可 对 装 有 无 线 网 卡 的 计算 机 做 必要 的 控制 和 管理 。 单 纯 性 无 线 AP 
既 可 以 通过 10Base-T(CWAN ) 端口 与 内 置 路 由 功能 的 ADSL MODEM 或 CABLE MODEM 
(CM) 直接 相连 ， 也 可 以 在 使 用 时 通过 交换 机 /集线器 、 宽 带路 由 器 再 接 入 有 线 网 络 。 

无 线 AP 跟 无 线路 由 器 类 似 ， 按 照 协 议 标准 本 身 来 说 IEEE 802.11b 和 IEEE 802.11g 
的 覆盖 范围 是 室内 100m、 室 外 300m。 这 个 数值 仅 是 理论 值 ， 在 实际 应 用 中 ， 会 碰 到 各 
种 障碍 物 ， 其 中 以 玻璃 、 木 板 、 石 膏 墙 对 无 线 信 号 的 影响 最 小 ， 而 混凝土 墙壁 和 铁 对 无 
线 信号 的 屏蔽 最 大 。 所 以 通常 实际 使 用 范围 是 : 室内 30m、 室 外 100m 〈 没 有 障碍 物 )。 

作为 无 线 网 络 中 重要 的 环节 无 线 接 入 点 、 无 线 网 关 也 就 是 无 线 AP， 它 的 作用 其 实 
就 类 似 于 我 们 常用 的 有 线 网 络 中 的 集线器 。 在 那些 需要 大 量 AP 来 进行 大 面积 覆盖 的 公 
司 使 用 得 比较 多 ， 所 有 AP 通过 以 太 网 连接 起 来 并 连 到 独立 的 无 线 局 域 网 防火 墙 。 但 同 
时 由 于 其 一 般 专用 无 线 AP 都 不 带 额 外 的 局 域 网 接口 ， 使 其 应 用 范围 较 窄 。 


1.4.6 调制解调器 


调制 解 调 器 (modem)， 是 计算 机 与 电话 线 之 间 进 行 信号 转换 的 装置 。 通 过 调制 解 
调 器 和 电话 线 就 可 以 实现 计算 机 之 间 的 数据 通信 。 目前 调制 解 调 器 主要 有 两 种 : 内 置式 
和 外 置式 。 

内 置式 调制 解 调 器 其 实 就 是 一 块 计算 机 的 扩展 卡 ， 插 入 计算 机 内 的 一 个 扩展 槽 即 可 
使 用 , 它 无 须 占 用 计算 机 的 串 行 端口 。 它 的 连 线 相当 简单 , 把 电话 线 接头 插入 卡 上 的 Line 
插口 ， 卡 上 另 一 个 接口 Phone 则 与 电话 机 相连 ， 平 时 不 用 调制 解 调 器 时 ， 电 话机 使 用 一 
点 也 不 受 影响 。 

外 置式 调制 解 调 器 则 是 一 个 放 在 计算 机 外 部 的 盒 式 装 置 ， 它 需 占 用 计算 机 的 一 个 串 
行 端口 , 还 需要 连接 单独 的 电源 才能 工作 , 外 置式 调制 解 调 器 面板 上 有 几 草 状 态 指示 灯 ， 
可 方便 监视 Modem 的 通信 状态 ， 并 且 外 置式 调制 解 调 器 安装 和 拆 印 容 易 ， 设 置 和 维修 
也 很 方便 ， 还 便于 携带 。 外 置式 调制 解 调 器 的 连接 也 很 方便 ，phone 和 line 的 接 法 同 内 
置式 调制 解 调 器 。 但 是 外 置式 调制 解 调 器 得 用 一 根 串 行 电缆 把 计算 机 的 一 个 串 行 口 和 调 
制 解 调 器 串 行 口 连 起 来 ， 这 根 串 行 线 一 般 随 外 置式 调制 解 调 器 配送 。 

调制 解 调 器 的 一 个 重要 性 能 参数 是 传输 速率 ， 目 前 市 面 上 28.8K、33.6K 和 56K 的 
调制 解 调 器 都 有 ， 而 且 56K 的 调制 解 调 器 已 经 成 为 市 场 的 主流 产品 。 但 由 于 国内 通信 线 
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路 的 限制 ， 以 及 用 户 太 多 、 国 际 出 口 太 少 的 缘故 ， 平 时 使 用 很 难 达 到 上 述 速率 ， 因 此 ， 
如 果 使 用 时 传输 速率 显示 只 有 每 秒 几 K 甚至 更 低 , 也 不 用 怀疑 计算 机 或 调制 解 调 器 有 什 
么 问题 。 


1.4.7 网络 软件 


网 络 软件 包括 通信 支撑 平台 软件 、 网 络 服务 支撑 平台 软件 、 网 络 应 用 支撑 平台 软件 、 
网 络 应 用 系统 、 网 络 管理 系统 以 及 用 于 特殊 网 络 站 点 的 软件 等 。 从 网 络 体系 结构 模型 不 
难看 出 ， 通 信 软 件 和 各 层 网 络 协议 软件 是 这 些 网 络 软件 的 基础 和 主体 。 

1) 通信 软件 

通信 软件 用 以 监督 和 控制 通信 工作 的 软件 。 它 除了 作为 计算 机 网 络 软件 的 基础 组 成 
部 分 外 ， 还 可 用 作 计 算 机 与 自 带 终端 或 附属 计算 机 之 间 实 现 通信 的 软件 。 通 信 软 件 通常 
由 线路 缓冲 区 管理 程序 、 线 路 控制 程序 以 及 报 文 管理 程序 组 成 。 报 文 管理 程序 通常 由 接 
收 、 发 送 、 收 发 记录 、 差 错 控制 、 开 始 和 结束 5 个 部 分 组 成 。 

2) 网 络 协议 软件 

网 络 协议 软件 是 网 络 软件 的 重要 组 成 部 分 。 按 网 络 所 采用 的 协议 层次 模型 (如 ISO 建 
议 的 开放 系统 互 连 基本 参考 模型 ) 组 织 而 成 。 除 物理 层 外 ， 其 余 各 层 协议 大 都 由 软件 实 
现 。 每 层 协议 软件 通常 由 一 个 或 多 个 进程 组 成 ， 其 主要 任务 是 完成 相应 层 协议 所 规定 的 
功能 ， 以 及 与 上 、 下 层 的 接口 功能 。 

3) 网 络 应 用 系统 

网 络 应 用 系统 是 根据 网 络 的 组 建 目的 和 业务 的 发 展 情况 ， 研 制 、 开 发 或 购置 。 其 任 
务 是 实现 网 络 总 体 规划 所 规定 的 各 项 业务 ， 提 供 网 络 服务 和 资源 共享 。 网 络 应 用 系统 有 
通用 和 专用 之 分 。 通 用 网 络 应 用 系统 适用 于 较 广泛 的 领域 和 行业 ， 如 数据 收集 系统 、 数 
据 转 发 系统 和 数据 库 查询 系统 等 。 专 用 网 络 应 用 系统 只 适用 于 特定 的 行业 和 领域 ， 如 银 
行 核算 、 铁 路 控制 、 军 事 指挥 等 。 一 个 真正 实用 的 、 具 有 较 大 效益 的 计算 机 网 络 ， 除 了 
配置 上 述 各 种 软件 外 ， 通 常 还 应 在 网 络 协议 软件 与 网 络 应 用 系统 之 间 ， 建 立 一 个 完善 的 
网 络 应 用 支撑 平台 ， 为 网 络 用 户 创造 一 个 良好 的 运行 环境 和 开发 环境 。 功 能 较 强 的 计算 
机 网 络 通常 还 设立 一 些 负责 全 网 运行 工作 的 特殊 主机 系统 (如 网 络 管理 中 心 、 控 制 中 心 、 
信息 中 心 、 测 量 中 心 等 )。 对 于 这 些 特殊 的 主机 系统 ， 除 了 配置 各 种 基本 的 网 络 软件 外 
还 要 根据 它们 所 承担 的 网 络 管理 工作 编制 有 关 的 特殊 网 络 软件 。 

在 计算 机 网 络 软件 方面 受到 重视 的 研究 方向 有 : 全 网 界面 一 致 的 网 络 操作 系统 ， 不 
同类 型 计算 机 网 络 的 互 连 ( 包 括 远程 网 与 远程 网 、 远 程 网 与 局 域 网 、 局 域 网 与 局 域 网 )， 
网 络 协议 标准 化 及 其 实现 ， 协 议 工程 (协议 形式 描述 、 一 致 性 测试 、 自 动 生成 等 )， 网 络 
应 用 体系 结构 和 网 络 应 用 支撑 技术 研究 等 。 
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1.5 局 域 网 


1.5.1 局 域 网 概述 


1. 局 域 网 定义 

局 域 网 为 计算 机 局 部 区 域 网 络 (LAN) 的 简称 。IEEE 局 域 网 络 标准 委员 会 对 局 域 网 
的 描述 性 定义 为 : 局 域 网 是 一 种 为 单一 机 构 所 拥有 的 专用 计算 机 网 络 ， 其 通信 被 限制 在 
中 等 规模 的 地 理 范 围 ， 如 一 栋 办 公 楼 、 一 座 工厂 或 一 所 学 校 ， 具 有 较 高 数据 速率 和 较 低 
的 误 码 率 ， 能 有 效 实现 多 种 设备 之 间 互 联 、 信 息 交 换 和 资源 共享 。 

局 域 网 的 特征 如 下 。 

。 范围 小 : 通常 在 2.5km 以 内 。 

。 高 数据 率 : 10Mbps 以 上 ， 现 在 已 达到 10Gbps。 

。 低 误 码 率 ; 一 般 可 达到 10 ?以 下 。 

。 单一 部 门 所 有 。 

。 支持 实时 应 用 。 

2. 局 域 网 拓扑 结构 

局 域 网 的 主要 拓扑 结构 有 总 线 型 、 环 型 和 星 型 。 

总 线 型 局 域 网 是 将 计算 机 以 总 线 连接 起 来 构成 的 局 域 网 ， 是 最 早 的 局 域 网 ， 采 用 同 
轴 电 缆 作为 传输 介质 ， 使 用 CSMA/CD 访问 控制 方式 控制 对 总 线 的 访问 。 当 使 用 细 同 轴 
电缆 时 ， 总 线 长 度 不 超过 300m， 工 程 上 一 般 不 超过 185m， 可 连接 的 节点 数 不 超 过 30 
个 。 可 借助 中 继 器 将 最 多 5 段 总 线 连接 在 一 起 ， 组 成 更 大 的 局 域 网 。 当 使 用 粗 同 轴 电 线 
时 ， 总 线 长 度 不 超过 500m， 可 连接 的 节点 数 不 超 过 100 个 。 可 借助 中 继 器 将 最 多 5 段 
总 线 连接 在 一 起 ， 组 成 可 延伸 至 2.5km 的 局 域 网。 总线 型 局 域 网 现在 已 经 被 淘汰 。 

环 型 局 域 网 利用 环 接口 设备 将 传输 介质 连接 成 环 状 ， 计 算 机 连接 到 环 接口 设备 上 。 
所 组 成 的 环 可 以 是 单 环 ， 也 可 以 是 双环 。 信 号 在 环 上 一 定 是 单 向 传送 的 。 环 型 局 域 网 现 
在 已 基本 上 不 再 使 用 ， 但 环 型 广域网 (如 SDH 网 络 ) 还 在 广泛 使 用 。 

星 型 局 域 网 将 计算 机 连接 到 中 央 计 算 机 或 连接 设备 形成 的 局 域 网 ， 是 目前 广泛 使 用 
的 局 域 网 。 早 期 使 用 集线器 (hub) 将 计算 机 连接 起 来 组 成 星 型 拓扑 ， 但 仍然 使 用 
CSMA/CD 访问 控制 方式 ， 集 线 器 相当 于 一 条 逻辑 总 线 。 这 种 使 用 物理 上 星 型、 逻辑 上 
总 线 的 局 域 网 的 显著 优点 是 可 维护 性 显著 改善 ， 其 中 一 台 计算 机 或 一 条 电缆 或 一 个 网 卡 
的 故障 ， 不 会 影响 其 他 计算 机 的 正常 连 网 。 

局 域 网 交换 机 的 出 现 ， 大 大 提高 了 星 型 网 的 性 能 ， 也 迅速 取代 了 传统 的 集线器 。 
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3. 以 太 网 

Bob Metcalfe 对 以 太 网 的 产生 作出 了 重大 的 贡献 ， 被 称 为 以 太 网 之 父 。 

1972 年 Bob Metcalfe 在 Xerox 公司 的 PARC 计算 机 实验 室 工作 时 , 主要 研究 任务 是 
如 何 将 他 们 的 第 一 台 个 人 计算 机 Alto 和 第 一 台 激光 打印 机 EARS 互联 起 来 。1972 年 底 
Metcalfe 和 同事 David Boggs 开发 出 第 一 个 实验 性 的 局 域 网 系统 ， 实 验 系统 的 数据 传输 
率 达 到 2.94Mbps。 

1973 年 5 月 22 日 ，Metcalfe 与 Boggs 在 Alto Ethemet 中 提出 了 以 太 网 工作 原理 设 
计 方 案 。 他 们 受到 19 世纪 物理 学 家 解释 光 在 空间 中 传播 的 介质 “以 太 (ether)” 的 影响 ， 
将 这 种 局 域 网 命名 为 Ethemet (以 太 网 )， 寅 意 无 所 不 在 的 网 络 。 

Ethernet 的 核心 技术 是 共享 总 线 的 介质 访问 控制 方法 CSMA/CD( 带 冲突 检测 的 载波 
侦 听 多 路 访问 )， 用 于 解决 多 个 节点 共享 总 线 的 发 送 权 问 题 。 

1977 年 Metcalfe 申请 了 相关 专利 。 

1980 年 ，Xerox、Intel、DEC 公司 合作 ， 制 定 了 以 太 网 物理 层 、 数 据 链 路 层 规范 ， 
命名 为 DIX 规范 。 该 规范 规定 ， 以 太 网 为 总 线 拓扑 结构 ， 使 用 同 轴 电 缆 作为 传输 介质 ， 
使 用 CSMA/CD 访问 控制 方式 ， 使 用 曼彻斯特 编码 ， 数 据 率 为 10Mbps。1981 年 DIX 2.0 
发 布 ，1982 年 IEEE 802 委员 会 以 DIX2.0 为 基础 〈 几 乎 未 作 修改 )， 发 布 了 IEEE 802.3 
协议 ， 成 为 现在 以 太 网 的 通用 标准 。 

1995 年 100Mbps 以 太 网 标准 发 布 , 1998 年 1Gbps 以 太 网 标准 发 布 , 2002 年 , 10Gbps 
以 太 网 标准 发 布 。 


1.5.2 访问 控制 方式 


1.5.2.1 访问 控制 方式 的 分 类 


访问 控制 方式 用 于 控制 节点 对 介质 的 访问 ， 解 决 两 个 问题 : 一 是 确定 每 个 节点 能 把 
信息 送 到 通信 介质 上 去 的 特定 时 刻 ， 二 是 确定 如 何 有 效 利 用 共享 通信 介质 。 

按 实现 方式 的 不 同 ， 可 以 将 访问 控制 方式 分 为 以 下 三 类 。 

。 不 加 控制 : 不 进行 任何 控制 ， 每 个 节点 想 发 送信 息 就 发 送信 息 。 一 般 而 言 ， 只 有 
每 个 节点 具有 专用 信道 的 网 络 才能 使 用 此 种 方式 。 

。 集中 控制 : 由 中 央 节 点 负责 分 配 发 送 权 ， 只 有 获得 发 送 权 的 节点 才能 发 送 数据 。 
比如 时 间 片 方式 、 轮 询 方式 等 。 

。 分 布控 制 : 没有 中 央 控 制 节点 ， 各 节点 采用 分 布 协调 方式 分 配 发 送 权 。 比 如 令 牌 
传递 控制 方式 、CSMA/CD 方式 等 。 


1.5.2.2 令 牌 传递 访问 控制 方式 
令 牌 传递 访问 控制 方式 要 求 网 络 满足 的 条 件 是 : 网 络 形成 环 ， 当 不 能 形成 物理 环 时 ， 
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必须 形成 逻辑 环 ， 信号 在 环 上 单 向 传输 。 

1. 令 牌 传递 访问 控制 方式 原理 

@ 监控 节点 产生 唯一 一 个 令 牌 沿 环 路 传输 。 

@ 要 发 送 数 据 的 节点 等 待 令 牌 。 获 得 令 牌 后 往 令 牌 上 附加 数据 帧 , 填写 相应 标志 后 
让 其 继续 传送 。 

@ 目的 节点 检测 到 数据 帧 后 拷贝 帧 ， 设 置 应 答 标志 后 让 其 继续 传送 。 

@ 数据 帧 回 到 源 节点 后 ， 源 节点 根据 应 答 标志 确定 撤销 或 重 传 。 

@ 非 源 、 非 目的 节点 ， 转 发 帧 。 

在 采用 令 牌 传递 控制 方式 的 网 络 中 ， 每 个 节点 可 能 进行 的 操作 有 以 下 4 种 。 

。 发 送 : 源 节点 进行 。 

。 拷贝 : 目的 节点 进行 。 

。 转发: 非 源 、 非 目的 节点 进行 。 

。 撤销 : 源 节点 进行 。 

2. 令 牌 传递 访问 控制 方式 问题 及 对 策 

1) 令 牌 丢失 

一 旦 令 牌 丢失 ， 则 任何 节点 都 无 法 获得 令 牌 ， 所 有 节点 都 不 能 发 送 数 据 。 因 此 ， 必 
须 有 防 令 牌 丢失 的 措施 。 

判断 令 牌 丢失 的 方法 是 : 如 果 在 给 定 的 时 间 内 ， 没 有 令 牌 经 过 本 节点 ， 则 本 节点 可 
以 判断 令 牌 丢 失 ， 该 时 间 可 以 根据 环 长 计算 出 来 。 环 型 网 一 旦 安装 ， 其 环 的 长 度 就 确定 
了 ， 令 牌 在 其 上 传递 一 周 的 时 间 就 可 计算 出 来 。 当 然 ， 也 可 设 定 一 个 最 大 环 长 ， 据 此 计 
算 令 牌 传递 一 周 的 时 间 。 比 如 FDDI 网 络 ， 规 定 最 大 环 长 为 200km。 

通常 ， 由 监控 节点 监视 令 牌 是 否 丢 失 。 一 旦 发 现 令 牌 丢失 ， 立 即 生成 一 个 新 令 牌 。 

2) 令 牌 增生 

当 网 络 上 有 多 个 令 牌 时 ， 可 能 导致 冲突 发 生 。 例 如 一 个 节点 正在 发 送 、 转 发 或 拷贝 
一 个 数据 帧 的 过 程 中 ， 又 到 达 另 一 个 帧 ， 两 个 帧 交叉 在 一 起 ， 导 致 帧 被 破坏 。 

判断 令 牌 是 否 增生 的 方法 是 : 如 果 一 个 节点 持 有 令 牌 又 收 到 令 牌 或 数据 帧 ， 则 可 断 
定 令 牌 增生 。 

解决 令 牌 增生 的 方法 很 简单 ， 只 要 丢弃 一 个 令 牌 就 行 了 。 

3) 地 址 错误 

如 果 一 个 帧 在 传递 过 程 中 地 址 出 错 了 ， 则 会 导致 严重 问题 。 如 果 源 地 址 出 错 ， 则 该 
帧 将 不 会 被 撤销 ， 这 样 其 他 节点 就 不 能 获得 令 牌 发 送 数据 。 因 此 需要 有 防止 地 址 出 错 的 
机 制 。 通 常 ， 可 由 监控 节点 完成 此 项 工作 ， 其 方法 是 在 帧 中 设置 一 个 特殊 标志 ， 源 节点 
发 送 数据 时 设置 为 一 个 特殊 值 ， 当 经 过 目的 节点 或 源 节点 时 ， 修 改 一 次 该 值 。 监 控 节 点 
如 果 监 测 到 一 个 帧 连续 两 次 经 过 且 标 志 未 发 生 改变 ， 就 认为 该 帧 是 一 个 错误 帧 ， 将 其 
撤销 。 


76 网 络 规划 设计 师 教 程 


1.5.2.3 ”CSMA/CD 访问 控制 方式 


载波 侦 听 多 路 访问 /冲突 检测 (CSMA/CD ) 控制 方式 早期 要 求 网 络 组 成 总 线 拓扑 结 
构 ， 后 来 采用 集线器 和 交换 机 的 星 型 局 域 网 络 也 继续 使 用 该 方式 。 

1. CSMA/CD 原理 

CSMA/CD 的 工作 过 程 如 下 : 

Q@ 每 个 节点 在 发 送 数据 前 ， 先 监听 信道 ， 以 确定 介质 上 是 否 有 其 他 节点 发 送 的 信 
号 在 传送 。 

@ 若 介质 忙 《有 信号 在 传送 )， 则 继续 监听 。 

@ 否则 ， 若 介质 处 于 空闲 状态 ， 则 立即 发 送信 息 。 

@ 在 发 送 过 程 进行 冲突 检测 。 如 果 发 生 冲突 ， 则 立即 停止 发 送 ， 并 向 总 线 上 发 出 一 
串 阻 塞 信号 〈 全 1) 强化 冲突 ， 以 保证 总 线 上 所 有 节点 都 知道 冲突 已 发 生 ， 转 @。 

@@ 随机 延迟 一 段 时 间 后 返回 @。 

由 于 在 发 送 过 程 中 进行 监听 ， 保 证 在 发 送 过 程 中 没有 出 现 冲突 ， 源 节点 只 要 将 帧 正 
常 发 送 完毕 ， 就 认为 目的 节点 能 正常 接收 到 ， 因 此 该 方法 不 需要 发 送 应 答 帧 。 

2. 延迟 时 间 的 确定 

CSMA/CD 在 检测 到 冲突 后 ， 随 机 延迟 一 段 时 间 ， 该 时 间 长 度 按 截断 的 二 进 制 直属 
退 避 算法 确定 。 

假定 信号 在 总 线 上 往返 传递 的 时 间 为 !〈 称 为 时 间 片 )， 本 帧 在 发 送 过 程 中 已 检测 到 
的 冲突 次 数 是 mn， 则 延迟 的 时 间 片 数 7=0~2-1 之 间 的 随机 数 ，f=min{n,10}。 一 个 帧 在 
发 送 过 程 中 经 历 的 冲突 次 数 越 多 ， 说 明 网 络 负载 越 重 ,大 就 越 大 ， 相 应 地 了 就 越 大 〈 概 
率 意 义 上 )。 这 是 一 种 对 负载 具有 自 适 应 能 力 的 方法 。 

最 大 取 10， 限 制 最 大 延迟 时 间 在 一 个 给 定 范 围 。 


1.5.3 ”局 域 网 协议 


1.5.3.1 IEEE 802 LAN 体系 结构 与 协议 


1980 年 2 月 IEEE 成 立 IEEE 802 委员 会 , 负责 制定 局 域 网 标准 。 IEEE 802 委员 会 认 
为 ， 局 域 网 内 没有 路 由 选择 、 拥 塞 控制 等 问题 ， 因 此 不 需要 网 络 层 ， 高 层 可 由 用 户 去 实 
现 ， 因 此 局 域 网 只 有 物理 层 和 数据 链 路 层 。 同 时 ， 将 数据 链 路 层 分 为 与 拓扑 结构 无 关 的 
逻辑 链 路 控制 子 层 (LLC 层 ) 和 与 拓扑 结构 、 访 问 控制 方式 相关 的 介质 访问 控制 子 层 
(MAC 层 )。LLC 负责 与 应 用 接口 ，MAC 负责 与 介质 接口 。 将 物理 层 细 分 为 物理 信号 子 
层 PS、 连 接 接口 子 层 AUI、 物 理 介质 接 入 层 PMA 和 介质 相关 接口 MDI 4 个 子 层 。 

IEEE 802 委员 会 制定 一 系列 标准 ， 主 要 包括 。 

。 IEEE 802.1A: 局 域 网 概述 及 体系 结构 。 
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IEEE 802.]B: 寻 址 、 网 络 互 连 与 网 络 管理 。 

IEEE 802.2: 逻辑 链 路 控制 (LLC)。 

IEEE 802.3: 以 太 网 的 CSMA/CD 总 线 访问 控制 方法 与 物理 层 规范 。 
IEEE 802.3i: 10Base-T3 对 UTP 以 太 网 规范 。 

IEEE 802.3u: 100Base-T 星 型 UTP 以 太 网 规范 。 

IEEE 802.3z: 1000Base-T UTP 以 太 网 规范 。 

IEEE 802.3z: 1000Base-CX STP 以 太 网 规范 。 

IEEE 802.3z: 1000Base-LX 光纤 以 太 网 规范 。 

IEEE 802.3ae: 10GBase 以 太 网 规范 。 

IEEE 802.4: 令 牌 总 线 〈(Token Bus) 访问 控制 方法 与 物理 层 规范 。 
IEEE 802.5: 令 牌 环 访问 控制 方法 与 物理 层 规范 。 

IEEE 802.6: 城 域 网 (MAN) 访问 控制 方法 与 物理 层 规范 。 

IEEE 802.7: 宽带 局 域 网 访问 控制 方法 与 物理 层 规范 。 

IEEE 802.8: FDDI 访问 控制 方法 与 物理 层 规范 。 

IEEE 802.9: 综合 语音 和 数据 的 访问 方法 和 物理 层 规范 。 

IEEE 802.10: 网 络 安全 与 加 密 访问 方法 和 物理 层 规范 。 

IEEE 802.11: 无 线 局 域 网 访问 控制 方法 与 物理 层 规范 。 

IEEE 802.12: 100VG-AnyLAN 快速 局 域 网 访问 控制 方法 与 物理 层 规范 。 
IEEE 802.14: 利用 有 线 电 视 〈Cable-TV) 的 宽带 通信 标准 。 

IEEE 802.15: 无 线 个 人 区 域 网 (WPAN) 规范 。 

IEEE 802.16: 宽带 无 线 网 标准 。 

这 些 标准 间 的 关系 如 图 1-50 所 示 ， 其 中 802.4、802.5、802.12 已 经 淘汰 。 


802.10 网 络 安全 与 加 密 
802.1A ”LAN 体系 结构 


802.1B LAN 寻 址 、 互 连 与 管理 


i 数 

[so>. ?逻辑 链 路 控制 LLC | ri 
802.3 802.4 802.5 802.6 802.7 802.8 802.9 |802.11 802.12 链 
CSMA/CD| 令 牌 环 | 令 牌 总 线 | 城 域 网 | 宽带 LAN| FDDI | 语音 数据 | WLAN|100VGAnyLAN| |MAC 层 | | 路 
| 物理 层 | 物理 层 | 物理 层 | 物理 层 | 物理 层 | 物理 层 | 物理 层 | 物理 层 | 。 物理 层 。” | | 物理 层 | | 层 


图 1-50 IEEE 802 标准 关系 图 


1.5.3.2 IEEE 802.3 协议 


1. 帧 结构 
早期 MAC 帧 规定 的 载荷 是 LLC 帧 ， 但 这 种 格式 现在 已 不 再 使 用 。 现 在 普遍 使 用 的 
帧 格式 是 直接 封装 他 包 的 格式 ， 如 图 1-51 所 示 。 
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卫 数据 报 IP 层 
字 节 6 6 2 46~ 1500 证 
以 太 网 
MAC 帧 ss>| 数 据 MAC 层 
N 
| 8 字 节 MAC 帧 | 物理 层 
; 7 守节 1 守节 
10101010101010… 10101010101 | 010101011 | 
前 同步 码 帧 开始 
2 定 界 符 


图 1-51 802.3 帧 格式 


2. FCS 生成 方式 
帧 校 验 和 “FCS) 按 CRC-32 生成 4 字 节 的 CRC 校 验 和 。 其 生成 多 项 式 为 : 
G(X)= x tx tx tx tx tx tx +x! txs tx +x tx4+x +x+] 

3， 适应 性 策略 

采用 CSMA/CD 访问 控制 方式 , 使 用 截断 的 二 进 制 指数 退 避 算法 确定 随机 延迟 时 间 ， 
重 试 或 发 送 时 选择 在 时 间 片 开始 时 刻 进行 ， 不 跨越 时 间 片 ， 以 减少 冲突 机 会 。 

4. 数据 编码 

原始 的 802.3 物理 层 采用 曼彻斯特 编码 ， 但 802.3u 采用 4B/5B 编码 ，802.3z 采用 
8B/10B 编码 ，802.3ae 采用 64B/66B 编码 。 


1.5.4 ”高 速 局 域 网 


1.5.4.1 快速 以 太 网 (100Mbps) 


快速 以 太 网 (fast ethemet) 特 指数 据 率 为 100Mbps 的 以 太 网 , 数据 率 不 低 于 100Mbps 
的 以 太 网 统称 高 速 以 太 网 。1995 年 ， IEEE 802 委员 会 正式 批准 快速 的 协议 标准 为 [EEE 
802.3u (100Base)。 

快速 以 太 网 保持 传统 的 Ethemet 帧 结构 与 介质 访问 控制 方法 不 变 , 在 LLC 子 层 使 用 
IEEE 802.2 标准 ，MAC 子 层 使 用 CSMA/CD 方法 。 只 在 物理 层 做 了 必要 的 调整 ， 重新 定 
义 了 新 的 物理 层 标 准 ， 并 提供 10Mbps 与 100Mbps 速率 自动 协商 功能 。 

1. MII 结构 

100Base-T 标准 定义 了 介质 无 关 接 口 (Media Independent Interface, MIID), 它 将 MAC 
子 层 与 物理 层 分 隔 开 来 。 1-52 给 出 了 介质 专用 接口 MI 结构 。 这 样 ， 物 理 层 在 实现 
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100Mbps 速率 时 ， 传 输 介质 和 信号 编码 方式 的 变化 不 会 影响 MAC 子 层 。MII 向 上 通过 
与 MAC 子 层 的 接口 提供 载波 侦 听 信号 与 冲突 检测 信号 ， 向 下 支持 10Mbps 与 100Mbps 
速率 的 接口 ， 以 及 与 集线器 交换 控制 信息 的 功能 。 


802.2LLC 


1 


802.3 MAC 


| 


MII 


| 1 1 


100Base-TX | 100Base-T4 | 100Base-FX 


1 


100Base-T 集线器 /交换 机 


图 1-52 介质 无 关 接 口 MI 结构 


2. Fast Ethernet 的 介质 接口 

100Base-T 标准 可 以 支持 多 种 传输 介质 。 目 前, 100Base-T 有 以 下 三 种 传输 介质 标准 : 
100Base-TX、100Base-T4 与 100Base-FX。 

1) 100Base-TX 

100Base-TX 使 用 2 对 5 类 非 屏 蔽 双 绞 线 (UTP), 最 大 长 度 为 100m, 一 对 双 绞 线 用 于 
发 送 ， 另 一 对 双 绞 线 用 于 接收 ， 数 据 传输 采用 4B/5B 编码 方法 ， 采 用 全 双 工 方式 工作 。 

2) 100Base-T4 

100Base-T4 使 用 4 对 3 类 非 屏蔽 双 绞 线 ， 最 大 长 度 为 100m， 三 对 双 绞 线 用 于 数据 
传输 ， 一 对 双 绞 线 用 于 冲突 检测 ， 数 据 传输 采用 8B/6T 编码 方法 , 采用 半 双 工 方式 工作 。 

100Base-T4 是 针对 目前 很 多 建筑 物 以 及 按 结构 化 布线 方法 ， 使 用 质量 较 差 的 3 类 非 
屏蔽 双 绞 线 而 设计 。 数 据 分 在 三 对 双 绞 线 中 传输 ， 每 条 双 绞 线 的 有 效 速率 为 33.3Mbps。 
这 种 方式 现在 较 少 使 用 。 

3) 100Base-FX 

100Base-FX 使 用 两 条 光纤 ， 最 大 长 度 为 4Sm， 一 条 光纤 用 于 发 送 ， 另 一 条 光纤 用 
于 接收 ， 数 据 传 输 采 用 4B/5B-NRZI 编码 方法 ， 采 用 全 双 工 方式 工作 。 

3. 4B/SB 编码 方法 

10Base-T 数据 传输 采用 曼彻斯特 编码 方法 , 传输 速率 为 10Mbps, 时 钟 频率 是 20MHz。 
其 编码 效率 只 有 50%。 如 果 100Base-TX 仍 采 用 曼彻斯特 编码 方法 , 则 时 钟 频率 就 需要 达 
到 200MHz。 从 电路 实现 的 角度 来 看 ， 系 统 造价 将 会 大 幅度 上 升 。4B/5B 编码 方法 是 将 
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4b 数据 变换 成 5b 的 码 字 。 本 来 5b 可 以 表示 32 种 状态 ， 但 只 选取 其 中 16 种 状态 表示 4 
位 数据 ， 这 样 编码 效率 达到 80%。 

4. 全 双 工 与 半 双 工 工作 模式 

快速 以 太 网 支持 全 双 工 与 半 双 工 两 种 工作 模式 ， 这 是 它 与 传统 以 太 网 一 个 很 大 的 区 
别 。 传 统 以 太 网 的 节点 通过 一 个 连接 点 接 入 同 轴 电缆 ， 或 通过 一 对 双 绞 线 接 到 集线器 或 
交换 机 。 在 这 种 结构 中 ， 节 点 可 以 利用 这 条 通道 发 送 和 接收 数据 ， 但 是 它 在 发 送 数 据 时 
不 能 同时 接收 ， 在 接收 数据 时 也 不 能 同时 发 送 ， 因 此 只 能 是 以 半 双 工 方式 工作 。 

如 果 要 实现 全 双 工 工作 ， 主 机 需要 通过 网 卡 的 两 个 通道 ， 例 如 两 对 双 绞 线 或 两 根 光 
纤 ， 其 中 一 对 双 绞 线 用 于 发 送 数 据 ， 而 另 一 对 双 绞 线 用 于 接收 数据 ， 或 是 一 根 光纤 用 于 
发 送 数据 ， 而 另 一 根 光纤 用 于 接收 数据 。 这 与 传统 以 太 网 的 连接 方式 不 同 ， 它 是 一 种 点 - 
点 连接 方式 。 支 持 全 双 工 模式 的 快速 以 太 网 一 定 是 星 型 结构 。 

点 -点 连接 方式 不 存在 争 用 问题 ， 因 此 不 需要 采用 CSMA/CD 介质 访问 控制 方法 。 采 
取 全 双 工 、 点 -点 连接 方式 的 快速 以 太 网 ， 由 于 发 送 与 接收 可 以 同时 进行 ， 其 数据 率 是 单 
双 工 时 的 两 倍 。 同 时 ， 支 持 全 双 工 方式 的 交换 机 可 以 自由 混 接 不 同 速率 的 以 太 网 网 卡 ， 
并 实现 不 同 速率 之 间 的 互联 互通 。 

5. 10Mbps 与 100Mbps 速率 自动 协商 功能 

快速 以 太 网 支持 10Mbps 与 100Mbps 速率 网 卡 的 速率 自动 协商 ， 能 更 好 地 与 
10Base-T 的 以 太 网 兼容 。 

自动 协商 具有 以 下 功能 : 

(1) 自动 确定 非 屏蔽 双 绞 线 的 远 端 设备 使 用 的 是 半 双 工 (CSMA/CD) 的 10Mbps 工 
作 模 式 ， 还 是 全 双 工 的 100Mbps 工作 模式 。 

(2) 向 其 他 节点 发 布 远 端 设 备 的 工作 模式 。 

(3) 与 远 端 连接 设备 交换 工作 模式 相关 参数 ， 协 调和 确定 双方 的 工作 模式 。 

(4) 自动 选择 共有 的 最 高 性 能 的 工作 模式 。 

自动 协商 功能 只 能 用 于 使 用 双 绞 线 的 以 太 网 ， 自 动 协商 过 程 需要 在 500ms 内 完成 。 

各 种 模式 ， 性 能 越 高 ， 优 先 级 越 高 ， 优 先 采 用 高 优先 级 的 性 能 模式 。 这 些 协 议 按 性 
能 从 高 到 低 的 顺序 如 下 : 

(1) 100Base-TX 或 100Base-FX 全 双 工 模式 

(2) 100Base-T4 

(3) 100Base-TX 半 双 工 模式 

(4) 10Base-T 全 双 工 模式 

(5) 10Base-T 半 双 工 模式 

自动 协商 功能 是 通过 链 路 两 端 设备 交换 100Base-T 定义 的 “基本 链 路 代码 字 ” 来 实 
现 的 。 基 本 链 路 代码 字 长 度 为 6b， 其 格式 为 : 

soTsils21s3|1s41TA0TAlI|A21A3[|[A41A5TIRIRTRFTACKT NP 
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其 中 : S0 一 S4=-00001 表示 使 用 的 是 IEEE 802.3 协议 ，A0 表示 10Base-T 半 双 工 ， 
Al 表示 10Base-T 全 双 工 ，A2 表示 100Base-T 半 双 工 ，A3 表示 100Base-TX 全 双 工 ， 
A4 表示 100Base-T4 半 双 工 ，A5 表示 支持 帧 流 控 ，RF 表示 远 端 故障 ，ACK 表示 确认 。 


1.5.4.2 ”和 干 兆 以 太 网 


随 着 数据 量 的 增加 ， 用 户 对 以 太 网 速度 要 求 越 来 越 高 ， 快 速 以 太 网 已 经 不 能 满 
足 要 求 。 于 是 在 1998 年 发 布 了 千 兆 以 太 网 标准 IEEE 802.3z。 其 规划 了 用 以 太 网 组 
建 企业 网 的 全 面 解决 方案 : 桌面 系统 采用 传输 速率 为 10 一 100Mbps 的 以 太 网 ， 部 门 
级 网 络 系统 采用 传输 速率 为 100Mbps 的 快速 以 太 网 , 企业 主 网 络 系统 采用 传输 速率 
为 1Gbps 的 千 兆 以 太 网 。 由 于 传统 以 太 网 与 快速 以 太 网 、 千 兆 以 太 网 有 很 多 相同 点 ， 
并 且 很 多 企业 已 大 量 使 用 10Mbps 的 以 太 网 ， 因 此 当局 域 网 系统 从 传统 以 太 网 升级 
到 100Mbps 或 1Gbps 时 ， 网 络 技 术 人 员 不 需要 重新 培训 ， 只 需 对 硬件 进行 升级 即 
可 ， 应 用 系统 无 须 进行 任何 变更 。 因 此 ， 千 兆 以 太 网 有 着 非常 广泛 的 应 用 前 景 。 随 
着 千 兆 以 太 网 技术 的 成 熟 ， 现 已 成 为 大 、 中 型 局 域 网 系统 主干 网 的 首选 方案 。 

1. 千 兆 以 太 网 的 特点 

(1) 保 持 与 现 有 以 太 网 标准 的 向 下 兼容 .JEEE 802.3z 标 准 在 LLC 子 层 使 用 IEEE 
802.2 标准 ,在 MAC 子 层 使 用 CSMA/CD 方法 , 保持 同样 的 帧 结构 与 帧 的 最 大 长 度 ， 
支持 单 播 与 组 播 两 种 传输 模式 ， 只 在 物理 层 进 行 修改 。 

(2) 所 有 的 配置 都 采用 点 -点 连接 方式 。 

(3) 能 与 10Mbps、100Mbps 以 太 网 自动 实现 速率 匹配 ， 互 联 互通 。 

2. 千 兆 以 太 网 的 物理 层 协议 

IEEE 802. 3z 标准 包括 4 种 物理 层 标准 : 1000Base-LX、1000Base-SX、1000Base- 
CX 与 1000Base-T。 其 中 ，1000Base-LX、1000Base-SX、1000Base-CX 统称 为 
1000Base-X。 

1) 1000Base-LX 

1000Base-LX 使 用 光纤 作为 传输 介质 构成 星 型 拓扑 。 在 采用 多 模 光 纤 时 ， 半 双 
工 工作 模式 光纤 最 大 长 度 为 316m， 全 双 工 工作 模式 光纤 最 大 长 度 为 550m。 在 使 用 
单 模 光 纤 时 ， 半 双 工 模式 的 光纤 最 大 长 度 为 316m， 全 双 工 模式 的 光纤 最 大 长 度 为 
5000m。 数 据 传输 采用 8B/10B 编码 方法 。 

2) 1000Base-SX 

1000Base-SX 使 用 光纤 作为 传输 介质 构成 星 型 拓扑 。 在 采用 62.Shm 多 模 光 纤 
时 ， 半 双 工 和 全 双 工 模式 的 光纤 最 大 长 度 均 为 275m。 在 使 用 S0hm 多 模 光纤 时 ， 
半 双 工 和 全 双 工 模式 的 光纤 最 大 长 度 均 为 550m。 数 据 传 输 采 用 了 8B/10B 编码 方法 。 

3) 1000Base-CX 

1000Base-CX 使 用 特殊 的 屏蔽 双 绞 线 构成 星 型 拓扑 。 半 双 工 模式 的 双 绞 线 最 大 
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长 度 为 25m， 全 双 工 模式 的 双 绞 线 最 大 长 度 为 50m。 数 据 传输 采用 了 8B/10B 编码 
方法 sx 

4) 1000Base-T 

1000Base-T 使 用 4 对 5 类 非 屏蔽 双 绞 线 构成 星 型 拓扑 。 双 绞 线 最 大 长 度 为 
100m， 使 用 RJ-45 接口 。 数 据 传输 采用 PAM5 编码 方法 。 

3. 和 干 兆 以 太 网 对 IEEE 802.3 协议 的 调整 

1) 冲突 窗口 时 间 与 最 小 帧 长 度 的 调整 

传统 以 太 网 的 CSMA/CD 机 制 要 求 发 送 节 点 在 一 个 冲突 窗口 ， 即 发 送 512b 时 
间 〈5S1.2hs) 内 检测 出 是 否 发 生 冲突 ， 因 此 冲突 窗口 的 时 间 长 短 直接 影响 到 一 个 网 
段 的 量 大 长 度 。 传 统 以 太 网 与 快速 以 太 网 将 冲突 窗口 规定 为 51. 2hs,， 千 兆 以 太 网 的 
发 送 速率 提高 了 100 倍 ， 发 送 同样 长 度 帧 的 时 间 就 仅 是 原来 的 1100。 由 于 信号 在 
传输 介质 中 传播 的 速度 不 变 ， 为 了 保证 能 在 一 帧 的 发 送 过 程 中 检测 到 冲突 ， 则 网 段 
的 最 大 长 度 仅 是 1100， 即 千 兆 以 太 网 网 段 的 最 大 长 度 就 要 缩小 到 10m 甚至 Im 以 
下 。 因 此 必须 对 CSMA/CD 机 制 进行 修改 ，IEEE 802. 3z 标准 将 发 送 512b 的 时 间 修 
改 为 发 送 512B 的 时 间 , 即将 原来 的 最 小 帧 长 度 为 64B 修改 为 S12B, 但 最 大 长 度 仍 
为 1518B， 这 样 可 以 保持 千 兆 以 太 网 网 段 的 最 大 长 度 与 之 前 的 以 太 网 一 致 。 

2) 帧 突 发 处 理 

由 于 将 帧 的 最 短 长 度 确定 为 S12B， 当 要 发 送 较 短 的 帧 时 ， 必 然 发 送 大 量 填充 
的 无 用 信息 〈 称 为 载波 扩展 )， 导 致 信道 利用 率 降低 。 为 此 ， 千 兆 以 太 网 允许 各 个 
节点 有 选择 地 利用 突 发 模式 (burstmode) 来 发 送 帧 。 

突 发 模式 基本 思想 是 : 将 多 个 小 于 512B 的 短 帧 组 合 在 一 起 ， 拼 接 成 一 个 大 于 
512B 的 正常 帧 发 送 ， 在 该 正常 帧 内 的 各 个 短 帧 之 间 ， 设 置 一 个 帧 间隔 标志 IFG 进 
行 分 隔 。 

突 发 模式 处 理 过 程 是 : 当 一 个 节点 试图 发 送 一 个 突 发 帧 时 ， 首 先 设置 一 个 “ 突 
发 定时 器 ” 并 在 开始 发 送 突 发 帧 时 启动 定时 器 。 第 一 个 短 帧 〈 小 于 512B) 发送 完 
毕 准备 发 送 载波 扩展 时 ， 如 果 没 有 检测 到 冲突 ， 且 此 时 还 有 新 的 短 帧 需要 发 送 ， 则 
启动 突 发 模式 发 送 。 这 时 ， 如 果 突 发 定时 器 时 间 未 到 ， 则 在 一 个 IFG 后 继续 发 送 后 
续 帧 。 如 果 节 点 在 发 送 第 一 个 帧 的 过 程 中 出 现 了 冲突 ， 需 要 执行 正常 的 后 退 延 迟 操 
作 并 停止 发 送 。 如 果 发 送 的 第 一 个 帧 和 载波 扩展 没有 出 现 冲突 ， 这 时 就 可 以 连续 地 
发 送 后 续 帧 。 最 大 突 发 帧 最 长 能 够 占用 8192B 的 发 送 时 间 。 这 个 值 是 节点 从 开始 发 
送 第 一 帧 到 开始 发 送 最 后 一 帧 之 间 的 最 大 时 间 。 因 此 ， 帧 突 发 的 最 大 持续 时 间 等 于 
突 发 帧 长 度 的 发 送 时 间 加 上 1 个 最 大 帧 长 度 的 发 送 时 间 , 即 8192+1518+8 = 9718 (B) 
的 发 送 时 间 。 显 然 ， 在 采用 帧 突 发 处 理 之 后 ， 半 双 工 模式 千 兆 以 太 网 的 信道 利用 率 
大 大 提高 。 在 1000Mbps 传输 速率 的 情况 下 ， 半 双 工 状态 与 CSMA/CD 的 机 制 不 可 
取 ， 因 此 应 采用 点 -点 连接 的 全 双 工 模式 。 
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IFG 起 到 分 隔 多 个 帧 的 作用 ， 同 时 也 使 接收 节点 利用 此 段 时 间 使 设备 能 恢复 以 
接收 下 一 帧 。 

4. 干 兆 介质 专用 接口 GMII 

IEEE 802. 3z 标准 定义 了 千 兆 介质 专用 接口 GMI， 如 图 1-53 所 示 ， 它 将 MAC 
子 层 与 物理 层 分 隔 开 来 ， 以 保证 在 实现 1000Mbps 的 传输 速率 时 ， 物 理 层 使 用 的 传 
输 介质 和 信号 编码 方式 的 变化 不 会 影响 MAC 子 层 。 


802.3 MAC 


| 


GMII 
人 人 
1000Base-X,8B/10B 1000Base-T,PAMS | 
| | | 
1000Base-CX 1000Base-LX 1000Base-SX 1000Base-T 
| | | 
1000Base 交换 机 


图 1-53 ”GMII 结构 


$. 自动 协商 机 制 

千 兆 以 太 网 延续 了 自动 协商 的 概念 ， 并 将 它 扩展 到 光纤 连接 中 。 千 兆 以 太 网 自 
动 协商 有 两 种 形式 : 一 种 用 于 1000Base-X， 另 一 种 用 于 1000Base-T。 

1000Base-X 的 自动 协商 用 于 协调 链 路 两 端 节 点 是 半 双 工 还 是 全 双 工 操作 ， 以 及 
流量 控制 是 对 称 还 是 非 对 称 的 。1000Base-X 的 协商 严格 限定 在 1000Mbps 速率 ， 不 
能 在 不 同 的 速率 之 间 进 行 协商 。 链 路 两 端 设 备 必 须 安装 相同 类 型 的 发 送 器 和 接收 器 ， 
不 同 的 发 送 器 和 接收 器 之 间 不 兼容 。1000Base-X 使 用 8B/10B 编码 作为 链 路 代码 字 实 
现 自动 协商 。1000Base-X 使 用 与 快速 以 太 网 相同 的 协议 与 报 文 格式 。 

1000Base-T 使 用 叫做 快速 链 路 脉冲 的 FLP 交换 各 自传 输 能 力 的 通告 。FLP 可 以 
让 对 端 知道 源 端的 传输 能 力 是 怎样 的 。 当 交换 FLP 时 ,两 个 站 点 根据 以 下 从 高 到 低 
的 优先 级 侦 测 双 方 共 有 的 最 佳 方式 。 

e 1000Base-T 全 双 工 

e 1000Base-T 半 双 工 

。 100Base-T2 全 双 工 

。 100Base-TX 全 双 工 
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。 100Base-T2 半 双 工 
。 100Base-T4 半 双 工 
。 100Base-TX 半 双 工 
。 10Base-T 全 双 工 
。 10Base-T 半 双 工 


1.5.4.3 万 兆 以 太 网 


随 着 宽带 城 域 网 的 建设 需要 和 用 户 对 带宽 越 来 越 高 的 需求 ， 以 及 基于 光纤 的 密集 波 
分 复 用 技术 的 成 熟 ， 对 1Gbps 的 千 兆 以 太 网 进行 升级 ， 但 仍 能 保持 以 太 网 特性 ， 速 率 再 
提高 10 倍 且 能 用 于 主干 网 的 技术 ， 称 为 非常 自然 的 选择 ， 这 种 选择 导致 10Gbps 以 太 网 
〈 万 兆 以 太 网 ) 的 诞生 。 

IEEE 在 1999 年 3 月 成 立 了 高 速 研究 组 (High Speed Study Group，HSSG)， 其 任务 
是 致力 于 10Gbps 以 太 网 的 研究 。2002 年 6 月 ，IEEE 802 委员 会 通过 10Gbps 以 太 网 的 
正式 标准 。 在 10Gbps 以 太 网 标准 的 制定 过 程 中 ， 遵 循 了 技术 可 行 性 、 经 济 可 行 性 与 标 
准 兼容 性 的 原则 ， 目 标 是 将 以 太 网 从 局 域 网 范围 扩展 到 城 域 网 与 广域网 范围 ， 成 为 城 域 
网 与 广域网 的 主干 网 的 主流 技术 之 一 。 因 此 ， 万 兆 以 太 网 不 再 简单 地 称 为 局 域 网 ， 它 既 
是 局 域 网 ， 也 是 广域网 。 

1. 10Gbps 以 太 网 的 主要 特点 

10Gbps 以 太 网 的 主要 特点 如 下 : 

(1) 帧 格式 与 10Mbps、100Mbps 和 1Gbps 以 太 网 的 帧 格式 相同 。 

(2) 保留 IEEE 802.3 标准 对 以 太 网 最 小 帧 长 度 和 最 大 帧 长 度 的 规定 ， 使 用 户 在 将 其 
己 有 的 以 太 网 升级 时 ， 仍 然 便于 和 较 低 速率 的 以 太 网 进行 通信 。 

(3) 传输 介质 不 再 使 用 铜 质 的 双 绞 线 ， 而 只 使 用 光纤 ， 以 便 能 在 城 域 网 和 广域网 范 
围 内 工作 。 

(4) 只 工作 在 全 双 工 方式 , 因此 不 存在 介质 争 用 的 问题 。 由 于 不 需要 使 用 CSMA/CD 
工作 机 制 ， 这 样 传输 距离 不 再 受 冲突 检测 的 限制 。 

2. 10Gbps 以 太 网 的 物理 层 协议 

10Gbps 以 太 网 的 物理 层 使 用 光纤 通道 技术 ， 因 此 它 的 物理 层 协议 需要 进行 修改 。 
10Gbps 以 太 网 有 两 种 不 同 的 物理 层 标准 : 10Gbps 以 太 网 局 域 网 标准 (Ethemet LAN， 
ELAN) 与 10Gbps Ethernet 广域网 标准 (Ethemet WAN，EWAN)， 其 物理 层 标准 包括 如 
下 几 项 。 

1) 10000Base-ER 

10000Base-ER 是 IEEE 802.3ae 标准 中 , 在 一 对 光纤 中 传输 10Gbps 以 太 网 局 域 网 信 
号 的 物理 层 标准 。10000Base-ER 的 网 络 拓扑 是 星 型 结构 ， 局 域 网 物理 层 (LAN PHY) 
采用 1550nm 波长 激光 。 在 使 用 10hm 单 模 光纤 时 ， 光 纤 最 大 长 度 为 40km。 数 据 传输 采 


第 1 章 计算 机 网 络 原理 85 


用 64B/66B 编码 方法 。 

2) 10000Base-EW 

10000Base-EW 是 IEEE 802.3ae 标准 中 , 在 一 对 光纤 中 传输 10Gbps 以 太 网 局 域 网 信 
号 的 物理 层 标准 。10000Base-EW 的 网 络 拓扑 是 星 型 结构 , 物理 层 采用 1550nm 波长 激光 。 
在 使 用 10hm 单 模 光纤 时 ， 光 纤 最 大 长 度 为 40km。 数 据 传输 采用 64B/66B 编码 方法 。 

3) 10000Base-LR 

10000Base-LR 是 IEEE 802.3ae 标准 中 , 在 一 对 光纤 中 传输 10Gbps 以 太 网 广域网 信 
号 的 物理 层 标准 。10000Base-LR 的 网 络 拓扑 是 星 型 结构 ， 物 理 层 (LAN PHY) 采用 
1310nm 波长 激光 。 在 使 用 10hm 单 模 光纤 时 ， 光 纤 最 大 长 度 为 40km。 数 据 传输 采用 
64B/66B 编码 方法 。 

4) 10000Base-L4 

10000Base-L4 是 IEEE 802.3ae 标准 中 ， 在 一 对 光纤 中 传输 10Gbps 以 太 网 广域网 信 
号 的 物理 层 标准 。10000Base-L4 的 网 络 拓扑 是 星 型 结构 , 物理 层 采用 1310nm 波长 激光 。 
在 使 用 62. Shum 或 S0hm 多 模 光纤 时 , 光纤 最 大 长 度 分 别 为 240m 与 300m。 在 使 用 10hm 
单 模 光 纤 时 ， 光 纤 最 大 长 度 为 40km。 数 据 传输 采用 8B/10B 编码 方法 。 

5) 10000Base-SR 

10000Base-SR 是 IEEE 802.3ae 标准 中 , 在 一 对 光纤 中 传输 10Gbps 以 太 网 局 域 网 信 
号 的 物理 层 标准 。10000Base-SR 的 网 络 拓扑 是 星 型 结构 ， 物 理 层 采 用 850nm 波长 激光 。 
在 使 用 62.5um 或 50hm 多 模 光 纤 时 ， 光 纤 最 大 长 度 分 别 为 35m 与 300m。 数 据 传输 用 
64B/66B 编码 方法 。 

6) 10000Base-SW 

10000Base-SW 是 IEEE 802.3ae 标准 中 , 在 一 对 光纤 中 传输 10Gbps 以 太 网 广域网 信 
号 的 物理 层 标准 。10000Base-SW 的 网 络 拓扑 是 星 型 结构 , 物理 层 采用 850nm 波长 激光 。 
在 使 用 62.5hm 或 S0hm 多 模 光 纤 时 ， 光 纤 最 大 长 度 分 别 为 35m 与 300m。 数 据 传输 采用 
64B/66B 编码 方法 。 

由 于 10Gbps 以 太 网 需要 兼顾 LAN 与 WAN 两 种 应 用 环境 ， 而 二 者 在 信号 传输 的 诸 
多 方面 明显 不 同 ， 因 此 IEEE 802.3ae 标准 为 LAN 与 WAN 分 别 制定 相应 的 物理 层 标准 。 
两 种 物理 层 标准 的 共性 是 : 共用 MAC 层 ， 采 用 光纤 作为 传输 介质 ， 仅 支持 全 双 工 模式 ， 
不 使 用 CSMA/CD 机 制 。 

(1) 10Gbps 以 太 网 局 域 网 物理 层 协 议 的 特点 。 

由 于 10Gbps 以 太 网 需要 与 1Gbps 的 千 兆 以 太 网 兼容 ， 因 此 10Gbps 以 太 网 局 域 网 
的 物理 层 与 MAC 层 ， 必 须 允 许 工作 在 10Gbps 或 1Gbps 两 种 速率 。10Gbps 以 太 网 交换 
机 必须 具备 将 10 路 1Gbps 的 千 光 以太 网 信号 复 用 的 能 力 , 即 支持 10 路 1Gbps 的 千 兆 以 
太 网 端口 。 这样, 可 以 平滑 地 将 1Gbps 的 千 兆 以 太 网 、100Mbps 的 百 兆 以 太 网 与 10Mbps 
的 以 太 网 , 以 最 小 代价 升级 到 一 个 大 型 、 宽 带 局 域 网 中 , 将 网 络 的 覆盖 范围 扩大 到 40km。 
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(2) 10Gbps 以 太 网 广域网 物理 层 协议 的 特点 。 

10Gbps 以 太 网 的 广域网 物理 层 应 该 符合 光纤 通道 技术 速率 体系 SONET/SDH 的 
OC-192/STM-64 标准 。OC-192 的 传输 速率 为 9.58464Gbps， 而 不 是 精确 的 10Gbps。 在 
这 种 情况 下 ，10Gbps 以 太 网 帧 将 插入 OC-192/STM-64 帧 的 有 效 载荷 中 ， 以 便 与 光纤 传 
输 系统 相连 接 。 因 此 ，10Gbps 以 太 网 广域网 的 MAC 层 需 要 通过 10Gbps 介质 独立 子 层 
XGMII 接口 实现 9. 58464Gbps 的 速率 匹配 。 

3. 10Gbps 以 太 网 对 IEEE 802.3 协议 的 调整 

由 于 要 考虑 在 城 域 网 和 广域网 中 的 应 用 , 10Gbps 以 太 网 必须 充分 考虑 以 太 网 帧 信号 
远 距 离 传输 的 要 求 ， 因 此 10Gbps 以 太 网 在 物理 层 实现 方法 、 帧 格式 、MAC 工作 速率 及 
适 配 策略 等 方面 与 传统 以 太 网 必定 存在 差别 ， 需 对 传统 以 太 网 进行 一 些 调整 。 

1) MAC 帧 格式 的 调整 

由 于 10Gbps 以 太 网 将 多 个 帧 封装 在 一 个 OC-192 帧 中 进行 传输 ， 因 此 必须 解决 如 
何 标识 多 个 以 太 网 帧 的 问题 。 在 10Gbps 以 太 网 中 ， 它 是 通过 修改 MAC 帧 格式 来 实现 
的 。 图 1-54 是 新 的 10Gbps 以 太 网 帧 格式 。 


6B 2B nB 4B 
和 


7B 1B 6B 
原 格式 | 前 导 码 | 定 界 符 [目的 地 址 | 源 地 址 | 类 型 数据 | 校 验 和 | 


新 格式 


1B 5B 1B 2B 6B 6B 2B nB 4B 
图 1-54 10Gbps 以 太 网 帧 格式 


10Gbps 以 太 网 帧 格式 是 在 原 有 MAC 帧 格式 上 增加 了 2B 的 “长 度 ” 字 段 ， 代 蔡 了 
传统 MAC 帧 的 前 导 码 的 前 两 个 字 节 。 由 于 最 大 帧 长 度 为 1518B， 因 此 需要 2B 的 长 度 字 
段 可 以 (最 多 2MB 即 2048B)。 同 时 , 在 原 帧 前 定 界 符 与 目的 地 址 之 间 增 加 了 一 个 2B 的 
“ 帧 头 校 验 ”字段 , 对 它 前 面 的 长 度 、 前 导 码 与 帧 前 定 界 符 的 8 个 字 节 进行 CRC-16 校 验 。 

10Gbps 以 太 网 对 帧 的 修改 只 是 针对 封装 到 OC-192 帧 时 ， 它 只 对 物理 层 的 传输 过 程 
有 效 。 当 发 送 端的 MAC 层 将 帧 传送 到 物理 层 封装 到 OC-192 帧 时 ， 需 要 增加 帧 之 间 的 
标识 ， 这 时 才 需 要 修改 原 MAC 帧 的 结构 。 在 物理 传输 介质 中 传输 的 是 OC-192 帧 。 当 
接收 端的 物理 层 接收 到 一 个 OC-192 帧 后 ， 需 要 通过 拆 分 OC-192 帧 还 原 出 原 MAC 帧 ， 
然后 将 还 原 的 MAC 帧 提交 给 MAC 层 处 理 。 这 个 封装 与 拆 分 OC-192 帧 的 过 程 ， 对 源 节 
点 和 目的 节点 的 MAC 层 是 透明 的 。 这 种 修改 工作 是 在 物理 层 进行 的 ， 并 没有 真正 修改 
MAC 帧 结构 。 事 实 上 ，10Gbps 以 太 网 与 之 前 的 以 太 网 的 帧 结构 是 相同 的 。 
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2) 局 域 网 和 广域网 的 速率 匹配 

10Gbps 以 太 网 局 域 网 与 广域网 物理 层 的 数据 传输 速率 不 同 ， 局 域 网 的 数据 传输 速 
率 是 10Gbps， 而 广域网 的 数据 传输 速率 是 9. 58464Gbps。 但 是 ， 这 两 种 速率 的 物理 层 共 
用 MAC 层 。MAC 层 的 工作 速率 是 按 10Gbps 设计 的 。 因 此 ，10Gbps 以 太 网 必须 采取 
一 种 调整 策略 ， 通 过 10G 介质 专用 接口 (10GMII 或 XGMID,， 将 MAC 层 的 工作 速率 由 
10Gbps 减低 到 9. 58464Gbps， 使 它 能 与 物理 层 的 数据 传输 速率 匹配 。 现 在 使 用 的 调整 策 
略 大 致 有 以 下 三 种 : 

Q@ 通过 10GMII 接口 发 送 HOLD 信号 ， 让 MAC 层 在 一 个 时 钟 周期 中 停止 发 送 。 

@ 在 每 个 帧 间隙 时 间 IPG 中 ， 由 物理 层 向 MAC 层 发 送 Busy Idle 信号 。 这 时 MAC 
层 和 暂停 发 送 数据 。 当 物理 层 向 MAC 层 发 送 Normal Idle 信号 后 ，MAC 层 重 新 开始 发 送 
数据 。 

@ 采用 帧 间隙 时 间 IPG 延长 机 制 。MAC 层 每 次 传输 完 一 个 帧 后 ， 根 据 平均 数据 速 
率 动态 调整 IPG 间隔 。 

10Gbps 以 太 网 能 很 好 地 实现 与 SONET/SDH 传输 网 络 的 互联 ， 可 以 完成 从 局 域 网 
到 城 域 网 、 广 域 网 的 无 颖 连接 和 扩展 。 


1.5.5 ”无 线 局 域 网 


1.5.5.1 ”Wi-Fi (802.11) 无 线 局 域 网 


1. 无 线 局 域 网 概述 

无 线 局 域 网 (Wireless LAN，WLAN) 是 一 种 以 无 线 通信 为 传输 方式 的 局 域 网 ， 是 
实现 移动 计算 机 网 络 的 关键 技术 之 一 。 无 线 局 域 网 以 微波 、 激 光 与 红 外 线 等 无 线 电波 作 
为 传输 介质 ， 来 部 分 或 全 部 代替 传统 局 域 网 中 的 有 线 传输 介质 ， 实 现 了 移动 计算 机 网 络 
中 移动 节点 的 物理 层 与 数据 链 路 层 功 能 ， 并 为 移动 计算 机 网 络 提供 物理 接口 。 无 线 局 域 
网 的 发 展 速度 相当 快 。 目 前 ，300Mbps 传输 速率 的 系统 已 经 成 熟 ， 而 速率 更 高 的 系统 正 
在 研究 中 。 

无 线 局 域 网 不 仅 能 满足 移动 和 特殊 应 用 领域 的 需求 ， 还 能 覆盖 有 线 网 络 难以 覆盖 的 
地 方 ， 如 受 保护 的 建筑 物 、 不 能 或 不 方便 铺设 有 线 介 质 的 地 方 、 临 时 性 场所 等 。 

无 线 局 域 网 的 应 用 领域 主要 有 以 下 4 个 方面 : 作为 传统 有 线 局 域 网 的 扩充 、 建 筑 物 
之 间 的 互联 、 漫 游 访问 与 特殊 网 络 。 

2. WLAN 传输 介质 

无 线 局 域 网 使 用 的 是 无 线 传输 介质 ， 按 所 采用 的 传输 技术 可 以 分 为 三 类 : 红外 线 局 
域 网 、 扩 频 局 域 网 和 OFDM ( 正 交 频 分 多 路 复 用 〉 局域网 。 

红外 线 局 域 网 的 数据 传输 有 三 种 基本 技术 : 定向 光束 红外 传输 、 全 方位 红外 传输 与 
漫 反 射 红 外 传输 。 红 外 线 波长 在 850 一 950nm 之 间 ， 数 据 传输 速率 为 1Mbps 或 2Mbps。 
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红外 线 传输 的 优点 是 不 能 进行 重复 攻击 ， 缺 点 是 ， 传 输 距 离 小 ， 且 不 能 绕 过 障碍 物 。 

扩 频 无 线 局 域 网 的 数据 传输 有 两 种 基本 技术 : 跳 频 扩 频 FHSS 与 直接 序列 扩 
频 DSSS。 

跳 频 扩 频 FHSS 使 用 的 是 免 申 请 的 扩 频 无 线 电 频率 ， 包 括 902~928MHz (915MHz 
频带 、2.4 一 2.485GHz (2.4GHz 频带 )、5.725 一 5. 825GHz (5.8GHz 频带 ) 三 个 频带 。 直 
接 序列 扩 频 DSSS 使 用 2.4GHz 的 工业 、 科 学 与 医药 专用 的 ISM 频段 。 目 前 扩 频 无 线 局 
域 网 的 数据 传输 速率 都 在 11Mbps 以 下 。 

OFDM 无 线 局 域 网 是 将 无 线 信号 分 成 多 路 正 交 的 信号 ， 合 在 一 起 传输 。 由 于 采用 多 
路 复 用 技术 , 提高 了 数据 率 , 可 以 达到 54Mbps 以 上 , 采用 域 扩展 技术 可 以 达到 108Mbps， 
配合 使 用 多 天 线 (MIMO)， 可 以 达到 300Mbps 以 上 。 

3. WLAN 的 网 络 结构 

无 线 局 域 网 的 一 般 结 构 如 图 1-55 所 示 ， 由 一 个 访问 点 AP 和 若干 移动 主机 组 成 一 个 


基本 服务 集 BSS， 多 个 BSS 组 成 一 个 扩展 服务 集 ESS。 其 中 AP 一 般 通 过 有 线 方式 与 后 
端 网 络 或 Internet 互联 。 
分 配 系统 DS ee 
7 配 DS sm 
» 


至 其 他 802.x 
局 域 网 


”扩展 的 服务 集 


基本 服务 沫 、 
BSS 


ve 


‘ep Ss 


图 1-55 无 线 局 域 网 的 一 般 结构 


无 线 主机 可 以 从 一 个 BSS 漫游 到 另外 一 个 BSS， 整 个 BSS 甚至 整个 ESS 都 可 以 移 
动 ， 例 如 在 轮船 、 火 车 、 飞 机 上 的 无 线 局 域 网 ， 如 图 1-56 所 示 。 

4. WLAN 访问 控制 方式 

无 线 局 域 网 的 访问 控制 方式 用 于 控制 各 移动 主机 与 AP 之 间或 主机 与 主机 之 间 的 通 
信 。 主 要 有 两 种 方式 : 点 协调 功能 (Point Coordination Function，PCF)〉 和 分 布 式 协调 功 
能 (Distributed Coordination Function，DCF )。 
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无 争 用 服务 (选用) 


1 4T 有 和 
(必须 实现 ) 


点 协调 功能 PCF 会 
MAC 层 


分 布 协调 功能 DCF 
(CSMA/CA) 


物理 层 


图 1-56 WLAN 访问 控制 方式 


点 协调 功能 (PCF ) 的 原理 是 : AP 发 送 数据 时 可 以 直接 发 送 ， 移 动 主 机 要 发 送 数据 
必须 等 待 AP 的 通知 。AP 轮 询 各 移动 主机 有 无 数据 发 送 , 若 无 , 则 轮 询 下 一 个 移动 主机 ， 
若 有 ， 则 通知 其 发 送 。 此 时 ， 其 他 主机 不 能 发 送 ， 但 可 以 接收 。 

分 布 式 协调 功能 DCF 的 原理 如 下 : 

@ 发 送 站 点 先 监听 。 若 没 有 信号 在 传送 (空闲 ), 再 等 待 一 个 帧 间隔 时 间 (Interframe 
Spaces，IFS)， 若 仍然 空闲 ， 则 立即 发 送 。 

@ 若 有 信和 号 在 传送 〈 忙 )， 则 继续 监听 ， 直 到 介质 上 的 传输 结束 。 

@ 一 旦 当前 介质 上 的 传输 结束 ， 再 延 时 一 个 IFS 时 间 。 若 空闲 ， 立 即 发 送 ， 否 则 调 
用 截断 的 二 进 制 指数 后 退 算法 随机 延迟 一 段 时 间 后 转 Q@。 

该 方式 被 称 为 CSMA/CA 控制 方式 。 

5. WLAN 协议 

目前 WLAN 广泛 使 用 的 协议 是 IEEE 802.11 协议 。 

1) IEEE 802.11 协议 艇 

已 经 发 布 的 IEEE 802.11 系列 的 标准 主要 有 以 下 一 些 。 

。 IEEE 802.11: 2.4GHz 红外 线 或 扩 频 物理 层 、MAC 子 层 协 议 ，1Mbps 或 2Mbps。 

。 IEEE 802.11a: SGHz OFDM 物理 层 、MAC 子 层 协议 ，54Mbps。 

。 IEEE 802.11b: 2.4GHz 扩 频 (DSSS) 物理 层 、MAC 子 层 协 议 ，11Mbps。 

IEEE 802.11g: 2.4GHz OFDM 物理 层 、MAC 子 层 协 议 ，54Mbps。 
IEEE 802.11n: 2.4GHz OFDM MIMO 物理 层 、MAC 子 层 协议 ，300Mbps。 
IEEE 802.11i: WLAN 安全 机 制 。 
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2) IEEE 802.11 帧 结构 
802.11 协议 规定 的 数据 帧 的 格式 如 图 1-57 所 示 。 


2B 2B 6B 6B 6B 2B 6B 0 一 2312B 4B 
控制 | 持续 时 间 | 地 址 1 | 地 址 ? | 地 址 3 | 序号 | 地 址 4 [ 数据 ”| 校 验 和 | 


版 本 号 | 类 型 | 子 类 型 | ToDs | Fromps | 标志 | 重 传 | 功率 | 数据 | wEp 顺序 | 
2b 2b 4b lb lb lb lb lb lb lb lb 


图 1-57 ”802.11 帧 格式 


控制 : 由 多 个 子 域 组 成 ， 完 成 帧 控制 功能 。 

持续 时 间 : 表示 占用 信道 的 持续 时 间 。 

地 址 : 共有 4 个 地 址 ， 表 示 基 本 服务 集 BSS 的 地 址 、 源 地 址 、 目 的 地 址 、 发 送 站 地 
址 与 接收 站 地 址 等 ， 具 体 含 义 由 ToDS、FromDS 标志 位 确定 。 

序号 : 表示 节点 发 送 的 协议 数据 单元 的 顺序 号 。 

数据 域 : 对 应 高 层 数 据 ， 长 度 (0 一 2312B) 可 变 。 

校 验 和 : 帧 校 验 和 。 

3) 802.11 工作 原理 概述 

802.11 的 MAC 层 采 用 CSMA/CA 控制 发 送 与 接收 。 每 一 个 发 送 节点 在 发 送 帧 之 前 
需要 先 侦 听 信道 。 如 果 信 道 空 亲 ， 节 点 可 以 发 送 帧 。 发 送 节点 在 发 送 完 一 帧 之 后 ， 必 须 
再 等 待 一 个 短 的 时 间 间 隔 ， 检 查 接 收 站 是 否 发 回 帧 的 确认 ACK。 如 果 接 收 到 确认 ， 则 说 
明 此 次 发 送 没 有 出 现 冲突 ， 发 送 成 功 。 如 果 在 规定 的 时 间 内 没有 接收 到 确认 ， 表 明 出 现 
冲突 ， 发 送 失败 ， 重 发 该 帧 。 直 到 在 规定 的 最 大 重 发 次 数 之 内 ， 发 送 成 功 。 这 个 时 间 间 
隔 叫做 帧 间隔 〈IFS)。 帧 间隔 IFS 的 长 短 取 决 于 帧 类 型 。 高 优先 级 帧 的 帧 间隔 IFS 短 ， 
因此 可 以 优先 获得 发 送 权 。 常 用 的 帧 间隔 FS 有 三 种 : 

。 短 帧 间隔 (Short IFS，SIFS) 

。 点 帧 间隔 (PIFS) 

。 分 布 帧 间隔 (Distributed IFS， DIFS) 

点 帧 间隔 PIFS 与 分 布 帧 间隔 DIFS 也 叫做 点 协调 功能 帧 间隔 与 分 布 协调 功能 帧 
间隔 。 

短 帧 间隔 SIFS 用 于 分 隔 属于 一 次 对 话 的 各 帧 ， 如 确认 ACK 帧 。 它 的 值 与 物理 层 相 
关 。 例 如 陋 的 SIFS 为 7hs; DSSS 的 SIFS 为 10nus; FHSS 的 SIFS 为 28ns。 点 协调 功能 
帧 间隔 PIFS 的 长 度 等 于 SIFS 值 加 上 一 个 S0hs 的 时 间 片 值 ，FHSS 的 PIFS 值 为 78hs。 
分 布 协调 功能 帧 间隔 DIFS 最 长 , 它 等 于 在 PIFS 值 上 再 加 一 个 S0hs 的 时 间 片 值 , 即 FHSS 
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的 DIFS 值 为 128hs。 

4) IEEE 802.11 站 点 切换 

用 户 终 端 (STA) 会 定期 地 收集 无 线 信 号 ， 搜 索 可 用 的 AP 接 入 点 信息 。 当 发 现 有 
性 能 更 好 的 AP 时 (从 一 个 BSS 移动 到 另 一 个 BSS 或 有 新 的 AP 加 入 )， 用 户 终 端 将 启 
动 切换 过 程 ， 进 入 切换 流程 ， 连 接 到 该 AP。 具 体 的 流程 如 下 。 

第 一 步 ，STA 通过 Re-Association Request 发 起 切换 过 程 。 

第 二 步 ， 新 AP 发 送 IAPP Move Notify (IAPPmsg) 消息 到 旧 AP。 

第 三 步 ， 旧 AP 发 送 IAPP Move Reply (IAPPmsg) 消息 到 新 AP， 其 中 包含 STA 
用 户 信息 。 

第 四 步 ， 新 AP 到 AS 中 登记 为 该 STA 的 新 接 入 点 。 

第 五 步 ，AS 回复 相关 的 信息 给 新 AP。 

第 六 步 ， 当 STA 下 网 时 ， 向 AS 发 送 IAPP_usr_offline 消息 ， 通 知 用 户 下 网 。 

第 七 步 ，AS 向 新 AP 发 送 该 STA 下 网 的 消息 ， 并 附带 相关 的 用 户 信息 。 


1.S.S.2 ” 篮 牙 技术 


1994 年 ， 瑞 典 Ericsson 公司 与 IBM、Intel、Nokia 和 Toshiba 等 4 家 公司 共同 发 起 ， 
开发 一 个 用 于 将 计算 机 与 通信 设备 、 附 加 部 件 和 外 部 设备 ， 通 过 短 距离 、 低 功 耗 、 低 成 
本 的 无 线 信道 连接 的 无 线 标准 。 这 个 项 目 被 命名 为 蓝牙 (bluetooth)。 

蓝牙 系统 的 网 络 结构 如 图 1-58 所 示 。 
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1-58 ”蓝牙 的 网 络 结构 


蓝牙 系统 的 基本 单元 是 微微 网 (piconet)。 每 个 微微 网 都 包含 一 个 主 节 点 (master)， 
最 多 7 个 活动 的 从 节点 〈active slave)， 以 及 可 以 多 达 255 个 静观 节点 (parked slave )。 
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静观 节点 是 指 这 样 的 一 类 设备 ， 主 节点 已 将 它 切换 到 一 种 低 功 耗 状 态 ， 以 降低 它们 的 电 
源 消耗 。 静 观 设 备 除 了 响应 主 节 点 的 激活 或 指示 信号 以 外 ， 不 做 其 他 任何 事情 。 

在 同一 房间 中 可 以 同时 存在 多 个 微微 网 ， 它 们 可 以 通过 一 个 桥 节 点 连接 起 来 。 两 个 
相互 连接 的 微微 网 成 为 一 个 分 散 网 〈scattemet)。 微 微 网 是 一 个 中 心 控 制 的 TDM 系统 ， 
主 节点 控制 了 时 钟 ， 它 决定 每 个 时 间 片 分 配给 哪个 设备 进行 通信 。 所 有 通信 都 在 主 节 点 
和 从 节点 之 间 进 行 ， 从 节点 与 从 节点 之 间 不 直接 通信 。 蓝 牙 系 统 的 设计 目标 之 一 是 ， 争 
取 将 一 个 完整 的 蓝牙 芯片 的 价格 降低 到 5 美元 以 下 ， 从 而 可 以 大 规模 地 推广 使 用 。 

蓝牙 1.0 标准 规定 主 从 节点 之 间 的 距离 不 超过 10m， 数 据 率 为 720Kbps。2.0 标准 有 
望 将 数据 率 提高 到 10Mbps， 距 离 延 伸 到 100m。 


1.5.6 ”虚拟 局 域 网 


1.5.6.1 VLAN 的 概念 


虚拟 局 域 网 (VLAN) 是 由 一 些 LAN 网 段 构成 的 与 物理 位 置 无 关 的 逻辑 组 。VLAN 
的 形成 并 没有 改变 原 有 网 络 的 拓扑 ， 在 用 户 看 来 ， 网 络 的 视图 是 一 致 的 。 

逻辑 组 之 间 通 过 实现 互联 的 网 桥 或 路 由 器 来 交换 数据 。 当 一 个 逻辑 组 的 节点 要 转移 
到 另 一 个 逻辑 组 时 ,就 需要 将 节点 计算 机 从 一 个 网 段 撤 出 , 并 将 它 连 接 到 另 一 个 网 段 上 ， 
这 时 有 可 能 需要 重新 进行 布线 。 因 此 ， 逻 辑 组 的 组 成 受 节点 所 在 网 段 的 物理 位 置 限制 。 

虚拟 局 域 网 是 建立 在 局 域 网 交换 机 之 上 的 , 它 以 软件 方式 实现 逻辑 组 的 划分 与 管理 ， 
逻辑 组 中 的 节点 组 成 不 受 物理 位 置 的 限制 。 同 一 逻辑 组 的 成 员 不 一 定 连接 在 同一 个 物理 
网 段 上 , 它们 可 以 连接 在 同一 个 局 域 网 交换 机 上 , 也 可 以 连接 在 不 同 的 局 域 网 交换 机 上 ， 
只 要 这 些 交换 机 之 间 互 联 就 可 以 。 当 一 个 节点 从 一 个 逻辑 组 转移 到 另 一 个 逻辑 组 时 ， 只 
需要 简单 地 通过 软件 设 定 来 改变 逻辑 组 ， 而 不 需要 改变 它 在 网 络 中 的 物理 位 置 。 同 一 个 
逻辑 组 的 节点 可 以 分 布 在 不 同 的 物理 网 段 上 ， 但 它们 之 间 的 通信 就 像 在 同一 个 物理 网 段 
上 一 样 。 因 此 ，VLAN 是 通过 软件 的 方法 ， 逻 辑 的 而 不 是 物理 地 将 节点 划分 成 一 个 个 
网 段 。 

目前 VLAN 的 主要 标准 是 IEEE 802.1Q 标准 。 


1.5.6.2 VLAN 组 网 方法 


1. 基于 端口 划分 VLAN (Port-Based) 

指定 交换 机 上 的 哪些 端口 组 成 一 个 VLAN。 

早期 基于 端口 的 VLAN 成 员 只 能 位 于 同一 个 交换 机 中 。 现 在 基于 端口 的 VLAN 支 
持 多 个 交换 机 , 例如 交换 机 X 上 的 端口 1 和 端口 2 与 交换 机 Y 上 的 端口 3 和 端口 4 可 以 
构成 一 个 VLAN， 只 要 交换 机 X 和 交换 机 Y 连接 在 一 起 〈 堆 又 或 级 联 )。 

此 种 方式 的 优点 是 直观 ， 缺 点 是 当 工 作 站 移动 或 使 用 者 变更 〈 如 更 换 办 公 室 ) 时 ， 
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需要 重新 配置 交换 机 。 

2. 基于 MAC 地 址 划分 VLAN (MAC-Layer Grouping) 

指定 一 组 MAC 地 址 构成 一 个 VLAN， 用 户 属于 哪个 VLAN 由 其 网 卡 中 的 MAC 地 
址 决定 。 

此 种 方式 的 优点 是 用 户 /主机 可 以 移动 ,缺点 是 更 换 网 卡 或 主机 后 ,需要 重新 配置 交 
换 机 ， 同 时 需要 管理 员 记 录 大 量 MAC 地 址 及 其 与 用 户 、 主 机 的 对 应 关系 。 

3. 基于 网 络 层 地 址 划分 VLAN (Network-Layer Grouping) 

指定 一 组 网 络 地 址 〈 如 一 组 卫 地 址 ) 构成 一 个 VLAN。 

此 种 方法 的 优点 是 用 户 、 主 机 可 以 随意 移动 ， 缺 点 是 效率 较 前 述 方法 低 ， 且 IP 地 址 
可 冒 用 ， 不 具有 唯一 性 。 

4. 基于 协议 划分 VLAN (Protocol-Based) 

指定 使 用 某 种 协议 的 节点 组 成 一 个 VLAN。 

由 于 目前 基本 上 都 使 用 TCP/IP 协议 ， 因 此 这 种 方式 的 适用 性 较 低 。 

5. 基于 策略 划分 VLAN (了 Policy-Based) 

策略 源 于 网 络 管理 ， 主 要 是 指 网 络 管理 行为 所 遵守 的 规则 。 这 些 规则 涉及 网 络 管理 
员 和 软 硬 件 系 统 的 禁止 、 允 许 、 授 权 等 行为 ， 尤 其 是 当 网 络 产生 报警 信息 时 ， 网 络 和 网 
络 管理 员 应 该 采取 的 措施 。 

策略 的 内 容 一 般 包括 以 下 内 容 : 

(1) 作用 范围 是 什么 ? 

(2) 规则 是 什么 ? 

(3) 对 象 是 什么 ? 

(4) 属性 是 什么 ? 

(5) 对 象 如 何 分 组 ? 

(6) 什么 事件 触发 策略 驱动 程序 ? 

(7) 行为 的 结果 是 什么 ? 

可 以 将 使 用 共同 策略 的 节点 组 成 一 个 VLAN。 

不 论 采用 哪 种 方式 ， 一 个 地 址 、 端 口 只 能 划分 到 一 个 VLAN 中 。 


1.5.6.3 IEEE 802.1Q 与 VTP 协议 


1. IEEE 802.1Q 帧 格式 
IEEE 802.1Q 定义 的 VLAN 帧 格式 如 图 1-59 所 示 ， 它 对 以 太 网 帧 格式 进行 了 修改 ， 
在 以 太 网 帧 格式 中 增加 2 个 字 节 ， 共 4 个 部 分 。 


[目的 地 址 | 源 地 址 |TPID | 优先 级 [cEr| viLAN ID | 长度 [数据 [ 校 验 和 | 


1-59 802.1Q VLAN 帧 格式 


目的 地 址 、 源 地 址 、 长 度 、 数 据 、 校 验 和 为 以 太 网 帧 的 固有 字段 ，TPID、 优 先 级 、 
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CFI、VLAN ID 为 802.1Q 增加 的 字段 ， 其 含义 如 下 。 

TPID (tag protocol identifier): 2 字 节 ， 是 IEEE 定义 的 新 的 类 型 ， 表 明 这 是 一 个 加 
了 802.1Q 标签 的 帧 。TPID 包含 了 一 个 固定 的 值 0x8100。 

优先 级 : 3 位 ， 一 共有 8 种 优先 级 ，0 一 7， 指 明 数 据 的 优先 级 。 

CFI (canonical format idicator): 1 位 ， 值 为 0 说 明 是 规范 格式 ，!1 为 非 规范 格式 。 
它 被 用 在 令 牌 环 / 源 路 由 FDDI 介质 访问 方法 中 来 指示 封装 帧 中 所 带 地 址 的 比特 次 序 
信息 。 

VLAN ID: 12 位 ， 指 明 VLAN 的 IDP， 一 共 4096 个 ， 每 个 支持 802.1Q 协议 的 交换 
机 发 送出 来 的 数据 包 都 会 包含 这 个 域 ， 以 指明 自己 属于 哪 一 个 VLAN。 

2. VTP 协议 

一 个 网 络 使 用 VLAN 后 需要 对 穿 过 多 个 交换 机 的 VLAN 进行 配置 和 维护 。 如 果 没 
有 一 个 集中 的 方法 配置 和 维护 VLAN 信息 , 网 络 管理 员 必 须 对 每 一 个 交换 机 进行 独立 的 
VLAN 配置 。 为 简化 配置 和 维护 工作 ， 思 科 公 司 开发 了 一 种 VLANTrunk 协议 (VTP)。 

VTP 允许 在 一 个 单独 的 设备 (VTP 服务 器 ) 上 配置 VLAN， 并 把 配置 信息 通过 交换 
网 络 传递 出 去 。 这 减少 了 管理 VLAN 需要 的 总 时 间 。 

在 一 个 VTP 环境 里 , 一 台 交 换 机 可 以 是 以 下 三 种 不 同 的 角色 之 一 。 可 以 是 一 台 VIP 
服务 器 ， 一 台 VTP 客户 机 ， 或 者 工作 在 透明 模式 。 角 色 决 定 了 交换 机 在 VLAN 网 络 中 
被 如 何 配置 。 

VTP 有 支持 多 个 VTP 域 的 能 力 。 每 个 VTP 域 的 客户 交换 机 从 该 域 的 VTP 服务 器 
接收 自身 的 配置 信息 。 在 同一 个 本 地 网 络 可 以 有 多 个 VTP 域 。 

1) VTP 服务 器 

VTP 服务 器 是 每 个 VTP 域 的 根本 。 服 务 器 是 VTP 域内 唯一 可 以 增加 、 删 除 、 重 命 
名 VLAN 的 交换 机 。 当 一 台 未 经 配置 的 交换 机 第 一 次 上 电 开机 的 时 候 ， 它 的 默认 模式 
是 服务 器 模式 。 我 们 必须 把 它 改 成 客户 机 或 者 透明 模式 。 

VTP 服务 器 周期 性 地 广播 VTP 域名 、VLAN 配置 ， 提 供 现行 的 配置 修改 号 。 这 个 
修改 号 是 VTP 域 的 一 部 分 , 它 确保 VIP 域内 的 所 有 交换 机 有 现行 的 、 正确 的 VLAN 配 
置信 息 。 

当 VLAN 在 VTP 服务 器 上 被 创建 的 时 候 ， 和 其 他 VLAN 配置 信息 一 起 存储 在 服务 
器 的 NVRAM (存储 单元 )。 当 交换 机 重启 的 时 候 ， 配 置信 息 还 是 被 保留 。 

2) VTP 客户 交换 机 

VTP 客户 交换 机 从 VTP 服务 器 接收 所 有 客户 交换 机 的 配置 信息 。 客 户 交 换 机 不 能 
删除 、 添 加 、 重 命名 VLAN。 当 客户 交换 机 加 入 一 个 新 的 VLAN，VLAN 必须 被 添加 到 
VTP 服务 器 上 面 去 。 这 样 新 的 VLAN 才能 传递 到 所 有 的 客户 交换 机 。 当 新 的 VLAN 增 
加 后 ， 客 户 交换 机 上 的 端口 会 关联 到 新 的 VLAN。 

类 似 VTP 服务 器 ， 客 户 交换 机 在 NVRAM 存储 VLAN 配置 。 然 而 ， 不 像 VTP 服务 
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器 ， 当 客户 交换 机 重启 的 时 候 ， 所 有 的 VLAN 配置 信息 丢失 了 。 交 换 机 启动 完成 后 ， 
需要 发 送 一 条 VIP 请 求 消息 给 VTP 服务 器 ， 来 获取 现行 的 VLAN 配置 。 

3) VTP 透明 模式 

VTP 透明 交换 机 和 VTP 客户 交换 机 不 同 ，VLAN 可 以 在 这 些 交换 机 上 手工 配置 。 
如 果 配 置 为 VTP 域 的 一 部 分 ， 它 们 可 以 从 VTP 服务 器 接收 VLAN 配置 信息 。 然 而 ， 
它们 不 会 通知 VTP 域 本 地 配置 的 VLAN。 配置 成 透明 模式 的 交换 机 还 是 会 收 到 VTP 配 
置 帧 并 传递 这 些 帧 到 所 有 的 骨干 端口 。 这 人 允许 VTP 客户 交换 机 可 以 连接 到 一 个 VIP 透 
明 交 换 机 。 客 户 交换 机 通过 透明 交换 机 可 以 和 VTP 服务 器 交换 VLAN 配置 信息 。 

4) VTP 数据 帧 

用 来 配置 和 维持 VTP 域 的 数据 帧 可 以 封装 成 802.1Q 或 者 ISL 帧 格式 (inter switch 
link，Cisco 公司 提出 的 专用 VLAN 帧 格式 )。VTP 使 用 一 个 保留 的 广播 地 址 作为 所 有 帧 
的 目的 地 。 这 个 广播 地 址 0x01-00-00-0C-CC-CC-CC 伴随 着 一 个 子 网 接 入 协议 (SNAP) 
的 逻辑 链 路 控制 (LLC) 码 ， 和 一 个 在 SNAP 头 的 2003 类 型 码 。 每 个 数据 帧 包含 一 个 
VTP 头 和 VTP 消息 类 型 。 有 三 种 类 型 的 VTP 消息 : 

。 summary〈 摘 要 ) 

。 Subset ( 子 集 ) 

。 Request (请求 ) 

Summary 帧 〈 摘 要 帧 )， 摘 要 帧 可 以 是 VIP 服务 器 或 者 VIP 客户 机 发 出 的 ， 每 5 
分 钟 一 次 或 者 当 VTP 域 发 生 改变 后 立即 发 出 。 摘 要 广播 包括 VIP 域 的 基本 信息 和 配置 
的 修改 情况 。 摘 要 帧 可 能 跟随 着 许多 的 详细 的 描述 帧 一 子 集 (subset) 帧 。 

Subset 帧 〈 子 集 帧 ): 子 集 帧 用 来 提供 VTP 域内 每 个 VLAN 的 详细 信息 。 子 集 帧 可 
以 是 对 VTP 请 求 帧 的 响应 ， 或 者 当 配 置 改变 时 发 出 〈 和 摘要 帧 一 起 发 出 )。 

Request 帧 〈 请 求 帧 ): 当 以 下 的 情况 之 一 发 生 时 ，VTP 客户 机 发 送 请 求 帧 request) 
到 VTP 服务 器 。 

。 VTP 域名 字 改 变 。 

。 VTP 客户 交换 机 收 到 一 个 配置 修改 号 码 更 高 的 摘要 广播 消息 。 

。 丢失 了 一 条 子 集 帧 。 

。 交换 机 重启 。 

。 VTP 服务 器 将 用 一 条 摘要 帧 和 能 够 满足 请 求 的 若干 条 子 集 帧 进行 响应 。 


1.6 广域网 与 接 入 网 


1.6.1 广域网 的 概念 


广域网 (WAN) 是 指 将 跨 地 区 的 各 种 局 域 网 、 计 算 机 、 终 端 等 互 连 在 一 起 的 计算 机 
通信 和 网络。 目前 ， 常 见 的 广域网 有 公用 电话 网 、 公 用 分 组 交换 网 、 公 用 数字 数据 网 、 宽 
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带 综 合 业务 数字 网 、 帧 中 继 网 和 大 量 的 专用 网 。 

与 覆盖 范围 较 小 的 局 域 网 相 比 较 ， 广 域 网 具有 以 下 特点 : 

(1) 覆盖 范围 广 ， 可 达 数 千 ， 甚 至 数 万 公里 。 

(2) 使 用 多 种 传输 介质 ， 例 如 有 线 介 质 有 光纤 、 双 绞 线 、 同 轴 电 缆 等 ， 无 线 介 质 有 
微波 、 卫 星 、 红 外 线 、 激 光 等 。 

(3) 数据 传输 延 时 大 ， 例 如 卫星 通信 的 延 时 可 达 几 秒 钟 。 

(4) 广域网 管理 、 维 护 较 困 难 。 


1.6.2” 虚 电路 与 数据 报 实现 方法 


广域网 可 以 提供 面向 连接 和 无 连接 两 种 服务 模式 。 对 应 于 两 种 服务 模式 ， 广 域 网 有 
两 种 组 网 方式 虚 电 路 《virtual circuit) 方式 和 数据 报 (datagram) 方式 。 

1. 虚 电 路 

虚 电 路 传输 方式 中 ， 当 源 端 系统 与 目的 端 系统 通信 时 ， 前 者 必须 先 与 后 者 建立 一 条 
数据 通路 。 为 此 ， 源 端 发 出 虚 呼 叫 分 组 ， 并 按 一 定 路 由 算法 到 达 目的 端 。 这 时 便 在 通信 
子 网 中 形成 一 条 源 /目的 节点 之 间 的 逻辑 通路 〈 虚 呼叫 分 组 走 过 的 路 径 )， 即 虚 电 路 。 此 
后 ， 两 端 系统 的 传输 实体 之 间 进 行 的 所 有 通信 都 在 这 条 虚线 路 上 运行 ， 这 与 电话 系统 的 
工作 原理 相似 。 这 里 要 注意 的 是 这 条 逻辑 通路 不 是 专用 的 ， 所 以 称 之 为 “ 虚 ” 电 路 。 每 
个 节点 到 其 他 任 一 节点 之 间 可 能 有 若干 条 虚 电路 支持 特定 的 两 个 端 系统 之 间 的 数据 传 
输 ， 两 个 端 系统 之 间 也 可 以 有 多 条 虚 电路 为 不 同 的 进程 服务 ， 这 些 虚 电路 的 实际 路 径 可 
能 相同 也 可 能 不 同 。 

在 多 辑 上 我 们 可 以 把 节点 间 的 物理 信道 看 作 由 多 条 逻辑 信道 所 组 成 ， 而 这 些 罗 辑 信 
道 实际 上 由 节点 内 部 的 分 组 缓冲 器 来 实现 。 所 以 当 我 们 说 占用 某 条 逻辑 信道 ， 实 质 上 是 
指 占用 了 该 段 物 理 信 道上 节点 分 配 的 分 组 缓冲 器 。 不 同 的 逻辑 信道 在 节点 内 部 通过 逻辑 
信道 号 加 以 区 分 ， 各 条 逻辑 信道 异步 时 复 用 同一 条 物理 信道 。 

实际 上 一 条 虚 电路 可 能 要 经 过 多 个 中 间 节 点 ， 在 节点 间 的 各 段 物理 信道 上 都 要 占用 
一 条 逻辑 信道 用 以 传送 分 组 。 由 于 各 节点 均 独 立地 为 通过 的 虚 电 路 分 配 逻 辑 信道 ， 也 即 
同一 条 虚 电 路 通过 各 段 信道 所 获取 的 逻辑 信道 可 能 是 不 相同 的 ， 所 以 各 节点 内 部 必须 建 
立 一 张 虚 电 路 表 ， 用 以 记录 该 点 的 各 条 虚 电 路 所 占用 的 各 个 逻辑 信道 。 

为 了 能 使 节点 区 分 一 个 分 组 属于 哪 条 虚 电 路 ， 而 且 同 一 条 虚 电 路 的 分 组 在 各 段 逻 辑 
信道 上 的 逻辑 信道 号 可 能 也 不 相同 。 所 以 每 个 分 组 必须 携带 一 个 逻辑 信道 号 ， 传 输 中 ， 
当 一 个 分 组 到 达 节 点 时 ， 节 点 根据 其 携带 的 逻辑 信道 号 查找 虚 电 路 表 ， 以 确定 该 分 组 应 
发 往 的 下 一 个 节点 及 其 下 一 段 信道 上 所 占用 的 逻辑 信道 号 ， 由 该 逻辑 信道 号 替换 分 组 中 
原先 的 逻辑 信道 号 ， 再 将 该 分 组 发 往 下 一 个 节点 。 

各 节点 的 虚 电路 表 空 间 和 逻辑 信道 号 都 是 网 络 资源 ， 当 虚 电路 拆除 时 必须 回收 。 这 
可 通过 某 端 系统 发 出 一 个 拆 链 请 求 分 组 ， 告 知 虚 电 路 中 各 节点 删除 虚 电 路 表 有 关 表 项 。 
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2. 数据 报 

数据 报 方式 中 ， 源 节点 与 目的 节点 通信 时 不 必 事 先 与 目的 节点 建立 数据 通路 。 通 信 
子 网 接收 源 节点 送 来 的 数据 ， 经 编 址 、 打 包 后 ， 各 自 独 立 的 在 源 节 点 和 目的 节点 之 间 寻 
径 传 输 。 在 传输 过 程 中 ， 通 信子 网 不 负责 差错 控制 ， 报 文 到 达 目 的 节点 的 顺序 与 源 节点 
的 发 送 顺序 也 不 一 定 相 同 ， 有 些 数据 报 甚至 还 可 能 在 途中 丢失 。 因 此 ， 采 用 数据 报 服务 
的 通信 子 网 ， 主 机 的 传输 层 必须 具有 差错 检测 和 恢复 功能 ， 并 能 对 报 文 进行 再 排序 。 这 
类 服务 没有 建立 链 路 和 拆除 链 路 的 过 程 ， 被 称 为 无 连接 服务 。 数 据 报 传送 不 需要 建立 虚 
电路 ， 但 网 络 节点 要 为 每 个 数据 报 做 路 由 选择 。 

3. 两 者 的 比较 

数据 报 与 虚 电 路 两 种 方式 各 有 优 缺 点 ， 表 1-5 总 结 了 两 种 方式 的 不 同 之 处 。 


表 1-5 数据 报 与 虚 电 路 方式 的 比较 


项 目 类 型 数据 报 服务 虚 电 路 服务 
电路 设置 需要 


地 址 每 个 分 组 都 有 源 端 和 目的 端的 地 址 | 每 个 分 组 都 含有 一 个 虚 电 路 号 
状态 信息 子 网 不 存储 状态 信息 en 六 订 国耻 


人 个 . wi 
路 由 选择 对 每 个 分 组 独立 选择 组 都 经 过 此 路 


除了 在 崩溃 时 全 丢失 分 组 外 ， 无 其 | 所 有 经 过 失效 路 由 器 的 虚 电 路 都 要 被 
他 影响 终止 


如 果 有 足够 的 缓冲 区 ， 则 容易 控制 


路 由 器 失败 的 影响 
拥塞 控制 


1.6.3 ”拥塞 控制 


1.6.3.1 ”拥塞 概念 


当 网 络 中 存在 过 多 的 数据 包 时 ， 网 络 的 性 能 就 会 下 降 ， 这 种 现象 称 为 拥塞 。 拥 塞 是 
一 种 持续 过 载 的 网 络 状态 ， 此 时 用 户 对 网 络 资源 (包括 链 路 带宽 、 存 储 空间 和 处 理 能 力 
等 ) 的 需求 超过 了 其 固有 的 容量 。 在 网 络 发 生 拥塞 时 ， 会 导致 吞吐 量 下 降 ， 严 重 时 会 发 
生 “ 拥 塞 月 溃 ”(congestion collapse) 现象 。 


1.6.3.2 ”拥塞 控制 原理 
拥塞 发 生 的 根本 原因 在 于 用 户 提供 给 网 络 的 负载 大 于 网 络 资源 容量 和 处 理 能 力 。 其 


典型 表现 就 是 数据 包 时 延 增加 、 丢 弃 概率 增 大 、 上 层 应 用 系统 性 能 显著 下 降 等 。 网 络 产 
生 拥 塞 的 直接 原因 主要 有 以 下 几 个 方面 : 
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1) 带宽 容量 相对 不 足 

低速 数据 链 路 对 于 高 速 数据 流 的 输入 会 产生 拥塞 。 根 据 香农 信息 理论 : 任何 信道 带 
宽 最 大 值 为 C=8，log。 (1 十 SIN)， 其 中 为 信道 白 噪声 的 平均 功率 ，S 为 信 源 的 平均 功 
率 ，B 为 信道 带宽 。 它 要 求 所 有 信 源 发 送 的 速率 R 必须 小 于 或 等 于 信道 容量 C。 如 果 R 
大 于 C， 则 在 网 络 低速 链 路 处 就 会 形成 带宽 瓶颈 ， 严 重 时 发 生 拥塞 。 

2) 队列 容量 相对 不 足 

为 了 处 理 突 发 流量 和 流速 率 的 变化 ， 路 由 器 在 出 口 链 路 前 建立 了 一 个 队列 ， 它 可 以 
接纳 一 些 突 发 流量 ， 适 应 网 络 环境 的 变化 。 但 是 路 由 器 上 的 存储 空间 十 分 有 限 ， 它 不 能 
无 限 的 加 大 队列 容量 ， 而 且 加 大 队列 容量 还 会 带 来 端 到 端 延迟 增加 等 其 他 问题 。 

3) 路 由 器 的 处 理 能 力 弱 

如 果 路 由 器 的 CPU 在 执行 排队 缓存 、 更 新 路 由 表 等 功能 时 ， 处 理 速度 跟 不 上 高 速 链 
路 ， 也 会 产生 拥塞 。 

4) 网 络 流量 分 布 不 均衡 

拥塞 总 是 发 生 在 网 络 中 资源 相对 短缺 的 位 置 。 拥塞 发 生 位 置 的 不 均衡 反应 了 Intemet 
本 身 的 不 均衡 性 。 首 先是 资源 分 布 的 不 均衡 ， 在 网 络 组 建 之 前 并 没有 经 过 良好 的 规划 和 
设计 ， 而 是 在 各 种 不 同 容量 、 不 同形 式 的 网 络 都 已 经 运行 起 来 后 才 设 法 将 它们 统一 连接 
起 来 ， 这 样 就 必然 大 量 存在 网 络 带宽 分 布 不 均 的 情况 。 其 次 是 网 络 流量 的 不 均衡 ， 在 不 
同时 刻 ， 各 种 需求 往往 导致 某 些 节点 上 的 资源 受到 大 量 的 访问 ， 而 大 量 存在 的 客户 服务 
器 模式 也 加 剧 了 流量 分 布 不 均 的 产生 。 

随 着 网 络 不 断 成 熟 与 发 展 , 网 络 内 部 带宽 容量 和 队列 资源 不 足 的 问题 已 经 逐渐 好 转 ， 
但 流量 分 布 不 均衡 的 问题 则 是 无 法 完全 解决 的 。 

拥塞 虽然 是 由 于 网 络 资源 的 稀缺 引起 的 ， 但 单纯 增加 资源 并 不 能 避免 拥塞 的 发 生 。 
例如 增加 缓存 空间 到 一 定 程度 时 ， 只 会 加 重 拥塞 ， 而 不 是 减轻 拥塞 ， 这 是 因为 当 数 据 包 
经 过 长 时 间 排 队 完成 转发 时 ， 它 们 很 可 能 早已 超时 ， 从 而 引起 源 端 超时 重 发 ， 而 这 些 数 
据 包 还 会 继续 传输 到 下 一 路 由 器 ， 从 而 浪费 网 络 资源 ， 加 重 网 络 拥塞 。 事 实 上 ， 缓 存 空 
间 不 足 导致 的 丢 包 更 多 的 是 拥塞 的 “症状 ”而 非 原因 。 另 外 ， 增 加 链 路 带宽 及 提高 处 理 
能 力也 不 能 解决 拥塞 问题 。 

拥塞 本 身 是 一 个 动态 问题 ， 它 不 可 能 只 靠 静态 的 方案 来 解决 ， 而 需要 协议 能 够 在 网 
络 出 现 拥塞 时 保护 网 络 的 正常 运行 。 目 前 对 互联 网 进行 的 拥塞 控制 主要 是 依靠 在 源 端 执 
行 的 基于 窗口 的 TCP 拥塞 控制 机 制 。 网 络 本 身 对 拥塞 控制 所 起 的 作用 较 小 , 但 近 几 年 这 
方面 的 研究 已 经 成 了 一 个 新 的 热点 。 

从 控制 理论 的 角度 ， 拥 塞 控制 算法 可 以 分 为 开 环 控制 和 闭环 控制 两 大 类 。 当 流量 特 
征 可 以 准确 规定 、 性 能 要 求 可 以 事先 获得 时 ， 适 于 使 用 开 环 控制 ， 当 流量 特征 不 能 准确 
描述 或 者 当 系 统 不 提供 资源 预 留 时 , 适 于 使 用 闭环 控制 。Intemet 中 主要 采用 闭环 控制 方 
式 ， 以 动态 适应 网 络 的 变化 ， 其 设计 关键 是 如 何 生成 反馈 信息 和 如 何 对 反馈 信息 进行 
响应 。 
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闭环 的 拥塞 控制 分 为 三 个 阶段 : 检测 网 络 中 拥塞 的 发 生 ; 将 拥塞 信息 报告 到 拥塞 控 
制 点 ;拥塞 控制 点 根据 拥塞 信息 进行 调整 以 消除 拥塞 。 闭 环 的 拥塞 控制 可 以 动态 的 适应 
网 络 的 变化 ， 但 算法 性 能 受到 反馈 延迟 的 严重 影响 。 当 拥塞 发 生 点 和 控制 点 之 间 的 延迟 
很 大 时 ， 算 法 性 能 会 严重 下 降 。 


1.6.3.3 ”拥塞 控制 方法 


从 拥塞 控制 方法 施行 的 位 置 来 分 ， 可 以 分 为 基于 终端 的 拥塞 控制 和 基于 链 路 (路 由 
器 ) 的 拥塞 控制 。 链 路 方法 在 网 络 设备 〈 如 路 由 器 和 交换 机 ) 中 执行 ， 作 用 是 检测 网 络 
拥塞 的 发 生 ， 产 生 拥 塞 反馈 信息 。 终 端 方法 在 主机 和 网 络 边 缘 设 备 中 执行 ， 作 用 是 根据 
反馈 信息 调整 发 送 速率 。 拥 塞 控制 算法 设计 的 关键 问题 是 如 何 生成 反馈 信息 和 如 何 对 反 
馈 信 息 进行 响应 。 

1. 拥塞 控制 的 链 路 方法 

拥塞 控制 的 链 路 方法 假定 网 络 传输 流 的 端 设 备 对 丢 包 和 标记 做 出 响应 ， 并 调整 自身 
的 吞吐 量 ， 这 种 假设 是 与 TCP 的 拥塞 控制 相对 应 的 。 

传统 网 络 设备 采用 PQM (被 动 队列 管理 ) 来 管理 网 络 中 间 节 点 数据 包 的 排队 ， 它 采 
用 FIFO 的 Drop-tail 丢 包 策略 ， 仅 在 输入 队列 溢出 时 进行 丢 包 ， 这 种 方式 容易 产生 
Lock-out〔 锁 外 )，Full-queues〔 满 列 ) 和 Global synchronization (全 局 同步 ) 等 问题 。 虽 
然 采用 Random-drop 和 Drop-front 丢 包 策略 可 以 避免 Lock-out 问题 ， 但 是 却 无 法 解决 满 
队列 和 全 局 同步 引起 的 振荡 问题 。 

为 了 缓解 上 面 提 到 的 这 些 问题 ， 出 现 了 AQM (主动 队列 管理 ) 技术 。AQM 是 路 由 
器 在 队列 充满 之 前 丢 包 ， 这 样 端 节点 便 能 在 队列 溢出 前 对 拥塞 做 出 反应 ， 从 而 达到 避免 
拥塞 的 目的 。 以 AQM 技术 为 基础 又 进一步 提出 了 一 些 改进 和 优化 方法 。 

2. 拥塞 控制 的 终端 方法 

1) TCP 拥塞 控制 

使 用 最 广泛 的 基于 终端 的 拥塞 控制 方法 是 TCP 协议 的 拥塞 控制 算法 。TCP 是 目前 在 
互联 网 中 使 用 最 广泛 的 传输 协议 。 广 义 的 来 讲 ，TCP 拥塞 控制 的 概念 是 每 个 源 端 判断 当 
前 网 络 中 有 多 少 可 用 容量 ， 从 而 知道 它 可 以 安全 完成 传送 的 分 组 数 。 一 旦 某 个 源 端 有 这 
么 多 分 组 在 传送 ， 它 用 确认 “ACK) 信号 的 到 达 表 明 它 有 一 个 分 组 已 经 离开 网 络 ， 因 而 
它 不 需要 增加 拥塞 级 别 就 可 以 安全 地 向 网 络 中 发 送 一 个 新 的 分 组 ， 通 过 使 用 确认 信息 来 
协调 分 组 的 传送 ，TCP 称 为 自 同步 〈self-clocking) 的 。 

TCP 拥塞 控制 机 制 包括 慢 启动 (slow start)、 拥 塞 避免 、 快 速 重 传 〈fast retransmit)、 
快速 恢复 〈fast recovery)、 选 择 性 应 答 (SACK) 等 。 通 过 在 终端 上 对 网 络 的 拥塞 情况 做 
出 适当 的 调整 ， 可 以 大 大 提高 网 络 传输 的 性 能 ， 减 少 拥塞 发 生 的 可 能 性 。 

TCP 中 使 用 的 拥塞 控制 算法 已 经 成 为 保证 目前 互联 网 稳定 性 的 重要 因素 。 
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2) ECN (Explicit Congestion Notification ) 

由 于 目前 TCP 使 用 丢 包 作为 隐 式 的 拥塞 指示 信号 ， 即 发 送 方 检测 到 重复 的 ACK 或 
者 重 传 超时 的 时 候 认 为 发 生 拥 塞 ， 这 种 机 制 在 用 于 检测 拥塞 时 开销 较 大 ， 需 要 等 待 较 长 
的 周期 才能 发 现 拥塞 ， 降 低 了 拥塞 控制 的 效率 。 为 此 ， 显 示 拥 塞 通告 算法 ECN 可 以 减 
少 由 于 不 必要 的 丢 包 产生 的 延 时 。 其 主要 思想 是 通过 路 由 器 对 拥塞 的 判断 ， 显 示 的 设置 
拥塞 标记 ， 发 送 端 主机 通过 网 络 中 返回 的 带 拥塞 反馈 标记 的 包 发 现 拥塞 。 

3) XCP 和 VCP 

随 着 互联 网 的 发 展 ， 端 到 端 带宽 时 延 积 逐 渐 增 大 ,传统 的 TCP 算法 逐渐 暴露 出 它 的 
问题 。TCP 的 加 式 增加 相对 于 网 络 带 宽 显 得 过 于 缓慢 ， 往 往 不 能 充分 地 利用 链 路 资源 ， 
因此 ， 不 少 算法 都 针对 大 带宽 时 延 积 网 络 提出 MIMD 〈 积 式 增加 积 式 减少 )， 提 高 慢 启 
动 速度 等 方案 ， 这 些 算法 一 方面 针对 大 带宽 时 延 积 网 络 做 出 了 优化 ， 但 另 一 方面 也 失去 
了 对 小 带宽 时 延 积 网 络 的 适应 性 。 

针对 这 些 问 题 ， 提 出 了 一 种 新 的 互联 网 拥塞 控制 机 制 XCP。XCP (eXplicit Control 
Protocol) 事实 上 是 对 ECN 机 制 的 一 种 扩充 ， 它 的 主要 思想 是 充分 利用 网 络 中 间 节 点 对 
链 路 带宽 的 认 知 ， 为 端 到 端 拥塞 控制 机 制 提供 比 是 否 发 生 拥 塞 更 多 和 更 有 效 的 网 络 带 宽 
提示 ， 从 而 使 控制 机 制 能 够 更 快 的 适应 当前 的 网 络 状况 。 

VCP (Variable-structure congestion Control Protocol) 协议 是 一 个 新 的 传输 协议 。 该 
算法 可 以 认为 是 在 ECN 和 XCP 算法 的 基础 上 发 展 而 来 ， 它 继承 了 ECN 和 XCP 利用 路 
由 器 提供 拥塞 指示 的 思想 ， 但 它 试 图 避免 大 幅度 修改 传统 TCP 十 AQM/ECN 网 络 的 主要 
结构 ， 利 用 现 有 的 ECNbit 达到 与 XCP 类 似 的 性 能 。 


1.6.4 公用 网 


广域网 与 局 域 网 在 构建 方面 的 主要 差别 是 广域网 必须 借助 公共 通信 网 络 〈 公 用 网 )。 
目前 ， 提 供 公用 网 的 主要 是 电信 部 门 。 公 用 网 的 种 类 比较 多 ， 基 本 上 可 以 分 为 三 大 类 ; 
一 类 是 电路 交换 网 ， 一 类 是 分 组 交换 网 ， 另 外 还 有 一 些 属于 专用 线路 连接 的 通信 网 。 


1.6.4.1 ISDN/BISDN 网 络 


1. ISDN 及 其 特点 

综合 业务 数字 网 (Integrated Service Digital Network，ISDN)， 它 是 在 现 有 电话 网 的 
基础 上 发 展 起 来 的 , 用 单一 网 络 提供 不 同类 型 的 业务 ,实现 完全 的 开放 系统 互 连 和 通信 。 
ISDN 将 分 组 交换 能 力 、 电 路 交换 能 力 及 无 交换 能 力 都 包含 在 其 内 部 ， 具 有 业务 综合 、 
端 到 端的 数字 连接 、 标 准 接口 特性 。 用 户 通过 ISDN 网 络 既 能 进行 高 速 数据 传输 
(64Kbps 一 622Mbps) 和 图 像 传送 , 又 能 进行 语音 传送 , 并 且 比 电话 网 和 数据 网 更 为 有 效 、 
经 济 和 方便 。 

ISDN 与 PSTN 公共 电话 交换 网 ) 相 比 具有 以 下 两 个 特点 : 
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(1) ISDN 的 端 到 端 使 用 全 数字 式 信道 。 

(2) ISDN 的 用 户 只 需要 通过 一 组 标准 的 多 用 途 接口 就 能 进 网 。 

虽然 ISDN 尚未 如 最 初 愿望 的 那样 获得 广泛 的 应 用 ， 但 其 技术 却 已 经 历 了 两 代 。 

第 一 代 ISDN 称 为 窄带 ISDN (N-ISDN)。 它 利用 64Kbps 的 信道 作为 基本 交换 单位 ， 
采用 电路 交换 技术 。 

第 二 代 ISDN 称 为 宽带 ISDN (B-ISDN)。 它 支持 更 高 的 数据 传输 速率 ， 发 展 趋势 是 
采用 报 文 分 组 交换 技术 。 

目前 N-ISDN 定义 了 两 类 用 户 访问 速率 基本 访问 速率 和 基 群 访问 速率 。 

1) 基本 访问 速率 (basic access rate) 

基本 访问 速率 由 两 个 速率 为 64Kbps 的 B 信道 和 1 个 速率 为 16Kbps 的 D 信道 组 成 
(2B 十 D)。B 信道 用 于 传送 用 户 数据 ; D 信道 用 于 传送 控制 信息 ; 加 上 分 帧 、 同 步 等 其 
他 开销 ， 总 速率 为 192Kbps。 

2) 基 群 访问 速率 (primary access rate) 

基 群 访问 速率 可 由 多 种 信道 混合 而 成 。 在 北美 和 日 本 使 用 (23B 十 D) 的 结构 ， 速 率 
为 1.544Mbps; 而 在 欧洲 则 使 用 (30B 十 D) 的 结构 ， 其 中 B、D 信道 均 为 64Kbps。 

基本 访问 速率 可 利用 现 有 用 户 电话 线 支持 ， 提 供电 话 、 传 真 等 常规 业务 。 基 群 访问 
速率 则 是 针对 专用 小 型 电话 交换 机 (PBX) 或 LAN 等 业务 量 大 的 单位 用 户 。 

2. ISDN 的 结构 

ISDN 的 基本 结构 如 图 1-60 所 示 ， 由 该 图 可 以 看 出 ，ISDN 包括 用 户 -网 络 接口 、 网 
络 功 能 和 ISDN 的 信 令 系统 。 


ISDN 网 络 
用 户 信息 ， S 信息 | 

证 EN et i 

T Tr 
' 

:用户 -网 络 信 仿 | 用 户 -网 络 信 令 

IE 了 Se 

用 户 -用 户 信 仿 


1-60 ISDN 结构 图 
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1) ISDN 用 户 -网 络 接口 

ISDN 用 户 -网 络 接口 的 作用 是 使 用 户 终端 与 ISDN 网 络 之 间或 网 络 与 用 户 之 间 能 够 
相互 交换 信息 ， 该 接口 主要 具有 以 下 功能 : 

(1) 具有 利用 同一 接口 提供 多 种 业务 的 能 力 。 

根据 用 户 需求 ， 在 呼叫 的 基础 上 ， 选 择 信息 的 比特 速率 、 交 换 方式 或 编码 方式 等 。 

(2) 具有 多 终端 配置 功能 。 

多 个 终端 可 以 连接 在 同一 个 接口 上 ， 人 允许 同时 使 用 这 些 不 同 的 终端 。 

(3) 具有 终端 的 移动 性 。 

利用 标准 插座 ， 使 终端 能 够 在 通信 过 程 中 移动 和 重新 恢复 通信 的 连接 。 

(4) 在 主 叫 用 户 和 被 叫 用 户 终 端 之 间 进 行 兼容 性 检查 。 

为 了 检验 主 叫 与 被 叫 终 端 能 够 相互 通信 ， 例 如 保证 电话 与 电话 终端 、 传 真 与 传真 终 
端 等 高 层 的 一 致 性 ， 需 要 具有 兼容 性 检验 的 功能 。 

2) ISDN 的 网 络 功能 

ISDN 网 络 具有 多 种 能 力 ， 包 括 电路 交换 能 力 、 分 组 交换 能 力 、 无 交换 连接 能 力 和 
公共 信道 信 令 能 力 。 在 一 般 情况 下 ， 网 络 只 提供 低层 (OSI 模型 1 一 3 层 ) 功能 。 

3) ISDN 的 信 令 系统 

ISDN 具有 三 种 不 同 的 信 令 : 用 户 -网 络 信 令 、 网 络 内 部 信 令 和 用 户 -用 户 信 令 。 这 
三 种 信 令 的 工作 范围 不 同 : 用 户 - 网 络 信 令 是 用 户 终端 设备 和 网 络 之 间 的 控制 信号 ; 网 络 
内 部 信 令 是 交换 机 之 间 的 控制 信号 :用户 -用 户 信 令 则 透明 地 穿 过 网 络 , 在 用 户 之 间 传 送 ， 
是 用 户 终端 设备 之 间 的 控制 信号 。ISDN 的 全 部 信 令 都 采用 公共 信道 信 令 。 

3. B-ISDN 网 

随 着 用 户 信息 传送 量 和 传送 速率 的 不 断 提 高 ，N-ISDN 已 无 法 满足 用 户 要求 。 例 如 ， 
要 传送 高 清晰 度 电视 图 像 要 求 达到 155Mbps 量 级 的 速率 , 要 支持 多 个 交互 式 或 分 布 式 应 
用 ， 一 个 用 户 线 的 总 容量 需求 可 能 达到 622Mbps 的 数量 级 。 在 此 情况 下 ， 人 们 提出 了 宽 
带 ISDN, 即 B-ISDN。 所 谓 宽带 是 指 要 求 传送 信道 能 够 支持 大 于 基 群 数量 的 服务 。B-ISDN 
可 以 提供 视频 点 播 (VOD)、 电 视 会 议 、 高 速 局 域 网 互联 以 及 高 速 数据 传输 等 业务 。 采 
用 B-ISDN 名 称 则 在 强调 ISDN 的 宽带 特性 ， 而 实际 上 它 应 该 支持 宽带 和 其 他 ISDN 业 
务 。B-ISDN 提出 后 ， 为 区 别 起 见 ， 人 们 将 原来 的 ISDN 称 为 N-ISDN。 

B-ISDN 要 支持 高 速率 ， 要 处 理 很 广 范围 内 各 种 不 同 速率 和 传输 质量 的 需求 ， 需 要 
面临 两 大 技术 问题 : 一 是 高 速 传输 ， 二 是 高 速 交 换 。 光 纤 通 信 技 术 已 经 给 前 者 提供 了 良 
好 的 支持 ;而 异步 传输 模式 “Asynchronous Transfer Mode，ATM) 为 实现 高 速 交换 展示 
了 好 的 前 景 。 近 年 来 电路 交换 设备 的 功能 日 益 增强 且 越 来 越 多 地 采用 光纤 干线 ， 但 利用 
电路 交换 技术 难以 圆满 解决 B-ISDN 对 不 同 速 率 和 不 同 传输 质量 控制 的 需求 ,而 ATM 技 
术 可 以 满足 B-ISDN 的 此 需求 。 正 因为 这 样 ，ATM 和 SONET 技术 与 B-ISDN 结 下 了 不 
解 之 缘 。 光 交换 技术 和 ATM 技术 成 为 实现 B-ISDN 的 主要 技术 。 
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1.6.4.2 DDN 网 络 


数字 数据 网 (Digital Data Network，DDN) 是 一 种 利用 数字 信道 提供 数据 通信 的 传 
输 网 ， 它 主要 提供 点 到 点 及 点 到 多 点 的 数字 专线 或 专 网 。 

DDN 由 数字 通道 、DDN 节点 、 网 管 系统 和 用 户 环 路 组 成 。DDN 的 传输 介质 主要 有 
光纤 、 数 字 微波 、 卫 星 信道 等 。DDN 采用 了 计算 机 管理 的 数字 交叉 连接 (Data Cross 
Connection, DXC) 技术 , 为 用 户 提供 半 永久 性 连接 电路 , 即 DDN 提供 的 信道 是 非 交换 、 
用 户 独占 的 永久 虚 电路 (PVC)。 一 旦 用 户 提出 申请 ,网络 管理 员 便 可 以 通过 软件 命令 改 
变 用 户 专线 的 路 由 或 专 网 结构 ， 而 无 须 经 过 物理 线路 的 改造 扩建 工程 。 因 此 DDN 极 易 
根据 用 户 的 需要 ， 在 约定 的 时 间 内 接 通 所 需 带宽 的 线路 。 

DDN 为 用 户 提供 的 基本 业务 是 点 到 点 的 专线 。 从 用 户 角 度 来 看 , 租用 一 条 点 到 点 的 
专线 就 是 租用 了 一 条 高 质量 、 高 带宽 的 数字 信道 。 用 户 在 DDN 上 租用 一 条 点 到 点 数字 
专线 与 租用 一 条 电话 专线 十 分 类 似 。 DDN 专线 与 电话 专线 的 区 别 在 于 : 电话 专线 是 固定 
的 物理 连接 ， 而 且 电 话 专 线 是 模拟 信道 ， 带 宽窄 、 质 量 差 、 数 据 传输 率 低 ;而 DDN 专 
线 是 半 固 定 连接 ， 其 数据 传输 率 和 路 由 可 随时 根据 需要 申请 改变 。 另 外 ,DDN 专线 是 数 
字 信道 ， 其 质量 高 、 带 宽 宽 ， 并 且 采 用 热 元 余 技术 ， 具 有 路 由 故障 自动 迁 回 功能 。 


1.6.4.3 SDH 网 络 


SDH (Synchronous Digital Hierarchy， 光 同步 数字 传输 网 ) 最 初 由 美国 贝尔 通信 研究 
所 提出 ， 采 用 了 一 整套 分 等 级 的 校准 数字 传递 结构 组 成 的 同步 网 络 SONET)。 后 来 国 
际 电报 电话 咨询 委员 会 《CCITT) 接受 了 这 个 概念 并 重新 命名 为 同步 数字 体系 (SDH)， 
使 之 成 为 不 仅 适 用 于 光纤 也 适用 于 微波 和 卫星 传输 的 通用 技术 体制 。SDH 网 是 一 种 全 新 
技术 体制 ， 具 有 路 由 自动 选择 能 力 ， 上 下 电路 维护 、 控 制 、 管 理 功能 强 ， 标 准 统一 ， 便 
于 传输 更 高 速率 的 业务 等 优点 。 该 网 的 推出 使 电视 、 图 像 、 话 音 、 数 据 以 及 数字 微波 传 
输 发 生 了 重大 改变 。 SDH 网 络 的 引入 和 使 用 , 就 可 以 比较 容易 地 实现 高 智能 的 、 高 效 的 、 
维护 功能 齐全 、 操 作 运行 廉价 的 信息 高 速 公路 。 因 此 ， 在 SDH 技术 推出 的 短 时 间 内 ， 
其 产品 和 应 用 就 得 到 了 极为 迅猛 的 发 展 。 

SDH 网 络 具 有 以 下 主要 特点 。 

1) 统一 的 光 接口 

SDH 网 络 对 同步 数字 系统 光 接口 有 统一 规定 , 包括 一 系列 光 接 口 详细 参数 及 其 测量 
方法 。 如 光 发 射 机 的 平均 发 射 光 功率 范围 、 最 小 消光 比 、 信 号 眼 图 模板 、 光 源 的 光谱 特 
性 、 光 通路 允许 衰 耗 、 色 散 值 和 反射 、 接 收 机 灵敏 度 、 动 态 范围 等 。 

2) 自 愈 环 

自 愈 环 的 作用 是 提高 网 络 的 生存 性 ， 即 在 无 人 参与 的 情况 下 ， 网 络 能 及 时 地 发 现 错 
误 ， 并 能 在 极 短 的 时 间 内 自动 恢复 承载 的 业务 ， 而 用 户 根本 感觉 不 到 网 络 的 故障 。 自 愈 
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环 的 结构 有 许多 种 ， 主 要 有 路 由 保护 、 二 纤 单 向 环 、 二 纤 双 向 环 和 利用 DXC 保护 的 自 
愈 环 。 

3) SDH 网 同步 

SDH 网 同步 结构 采用 主 从 同步 方式 ,要 求 所 有 网 络 单元 时 钟 都 能 最 终 跟踪 到 全 网 的 
基准 主 时 钟 。 局 内 同步 分 配 一 般 用 星 型 拓扑 ， 即 局 内 所 有 时 钟 由 本 局 最 高 质量 的 时 钟 获 
取 定 时 ， 只 有 高 质量 的 时 钟 由 外 部 定时 同步 。 获 取 的 定时 由 SDH 网 络 单元 经 同步 链 路 
送 往 其 他 局 的 网 络 单元 。 由 于 TU (〈 支 路 单元 ) 指针 调整 引起 的 抖动 会 影响 时 钟 性 能 ， 
因而 不 再 推荐 在 TU 内 传送 的 一 次 群 信号 作为 局 间 同 步 分 配 , 而 直接 用 STM-N 传送 同步 
信息 。 局 间 同 步 分 配 一 般 采 用 树 型 拓扑 。 标 准 的 SDH 传输 系统 中 一 般 带 有 公务 电话 功 
能 ， 以 方便 远 距离 环 网 节点 间 设 备 的 调试 和 维护 ， 传 统 设 备 中 公务 电话 位 于 光 群 路 接口 
模块 上 ， 这 样 只 要 光 群 路 能 正常 工作 ， 即 可 实现 节点 间 的 电话 对 讲 。 


1.6.4.4 WDM 网 络 


1. WDM 技术 

全 球 网 络 用 户 的 大 量 增长 和 大 容量 业务 的 发 展 ， 使 得 带宽 需求 量 成 线性 增长 ， 如 何 
有 效 地 增加 骨干 网 的 传输 能 力 成 为 众多 ISP 〈Internet Service Provider， 服 务 提 供 商 ) 必 
须 面 对 的 重要 问题 。 虽 然 目 前 的 骨干 网 多 数 已 使 用 光纤 链 路 来 传输 数据 ， 但 是 传统 的 
SDH/SONET (Synchronous Digital Hierarchy/Synchronous Optical Network) 技术 只 能 以 特 
定 的 传输 速率 (如 2.5Gbps) 在 光纤 中 的 单个 波长 通道 上 传输 数据 ， 单 纯 依靠 增加 单 波 
长 传输 速率 的 方法 ， 例 如 使 用 更 高 速 的 TDM (Time Division Multiplexing， 时 分 复 用 ) 
技术 ， 将 碰 到 诸如 因 传输 速率 逼近 电 层 处 理 极限 而 使 设备 成 本 迅速 增加 等 问题 。 然 而 ， 
一 根 光纤 可 提供 的 理论 传输 带宽 约 为 50THz, 可 见 光 纤 的 容量 还 远 远 没有 得 到 充分 利用 。 
WDM (Wavelength Division Multiplexing， 波 分 复 用 ) 技术 可 以 充分 利用 光纤 的 低 损 耗 带 
宽 ， 在 一 根 光 纤 中 的 不 同 波长 上 异步 、 高 速 传输 各 种 格式 的 信号 ， 是 挖掘 光纤 巨大 带宽 
资源 的 最 佳 技术 。 

波 分 复 用 (WDM) 实质 是 光 域 上 的 FDM (Frequency Division Multiplexing， 频 分 复 
用 ) 技 术 , 每 个 波长 通路 通过 频 域 的 分 割 实现 , 每 个 波长 通路 占用 一 段 光纤 的 带宽 WDM 
技术 使 用 独立 的 电 比 特 流 调制 各 自 的 光 载波 ， 经 复 用 后 在 同一 根 光 纤 上 传送 。 由 于 它们 
的 光谱 成 分 不 同 ， 在 大 气 传输 中 是 各 不 干扰 的 。 在 接收 端 使 用 解 复 用 器 (等 效 于 光 通 带 
滤波 器 ) 将 各 种 载波 上 的 光 信 号 分 开 。 

WDM 技术 在 光 传输 网 中 的 典型 应 用 如 图 1-61 所 示 。WDM 系统 由 光合 波 器 (光复 
用 器 ) 和 可 以 提取 独立 光波 长 的 光 分 波 器 〈 光 解 复 用 器 ) 组 成 。 发 射 端的 发 射 机 发 出 光 
波长 不 同 且 精 度 和 稳定 度 能 满足 一 定 要 求 的 光 信号 ， 经 过 光合 波 器 、 掺 钊 光纤 放大 器 ， 
送 入 光纤 中 传输 (光纤 线路 中 可 根据 需要 设置 光线 路 放大 器 )。 到 达 接 收 端 后 , 经 光纤 前 
置 放大 器 放大 ， 通 过 光 分 波 器 恢复 成 原来 的 各 路 光 信号 。 
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信道 1 .| 光源 1 从 出品] 信 关 1 
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信道 n a 信道 n 


光源 n 检测 器 


1-61 WDM 波 分 复 用 系统 


WDM 使 单 波长 传输 变 成 多 波长 同时 传输 ， 从 而 可 以 大 大 增加 光纤 的 传输 容量 。 例 
如 ， 如 果 每 个 波长 的 传输 速率 为 2.5Gbps， 在 一 根 光纤 中 同时 使 用 4 个 波长 ， 则 光纤 总 
的 传输 容量 就 可 达到 2.5X4=10Gbps。 一 根 光纤 可 以 传输 几 百 个 甚至 几 千 个 信道 , 因此 ， 
WDM 技术 可 以 充分 利用 光纤 的 巨大 带宽 资源 (多 于 50THz 的 理论 可 用 带宽 )， 使 一 根 
光纤 的 传输 容量 比 单 波长 传输 时 的 容量 增加 几 倍 、 几 十 倍 甚至 几 百 倍 ， 可 以 认为 WPM 
技术 将 为 光 传输 网 的 发 展 提供 几乎 取 之 不 尽 的 资源 。 

2. WDM 技术 特点 

WDM 技术 具有 下 述 特点 : 

(1) 传输 容量 大 ， 可 节约 宝贵 的 光纤 资源 。 对 单 波长 光纤 系统 而 言 ， 收 发 一 个 信和 号 
需要 使 用 一 对 光纤 ， 而 对 于 WDM 系统 ， 不 管 有 多 少 个 信号 ， 整 个 复 用 系统 只 需要 一 对 
光纤 。 

(2) 对 各 类 业务 信号 “透明 ”可 以 传输 不 同类 型 的 信号 ， 如 数字 信号 、 模 拟 信 号 等 ， 
并 能 对 其 进行 合成 和 分 解 。 

(3) 网 络 扩容 时 不 需要 敷设 更 多 的 光纤 ， 也 不 需要 使 用 高 速 的 网 络 部 件 ， 只 需要 换 
端 机 和 增加 一 个 附加 光波 长 就 可 以 引入 任意 新 业务 或 扩充 容量 ， 因 此 WDM 技术 是 理想 
的 扩容 手段 。 

(4) 组 建 动态 可 重 构 的 光 网 络 ， 在 网 络 节点 使 用 光 分 插 复 用 器 (OADM) 或 者 使 用 
光 交 叉 连接 设备 (OXC)， 可 以 组 成 具有 高 度 灵 活性 、 高 可 靠 性 、 高 生存 性 的 全 光 网 络 。 

正 是 因为 WDM 技术 的 上 述 特 点 ， 使 其 在 近 几 年 得 到 了 迅猛 的 发 展 ， 并 且 随 着 研究 
的 不 断 深入 ，WDM 技术 将 更 广泛 地 应 用 于 未 来 超 高 速 的 传输 网 络 中 。 

3. WDM 网 络 结构 与 节点 设备 

如 图 1-62 所 示 , 现 有 的 传输 网 络 由 接 入 网 络 和 WDM 核心 网 络 两 部 分 组 成 。 其 中 具 
有 WDM 接口 的 边缘 节点 构成 了 接 入 网 络 ;而 由 OXC 波长 路 由 核心 节点 通过 光纤 互 连 
而 成 为 WDM 核心 网 络 。 边 缘 节 点 具有 汇聚 业务 量 的 功能 ， 因 此 需要 能 汇聚 各 种 小 粒度 
业务 量 的 电 处 理 设备 ， 来 实现 业务 汇聚 。 核 心 网 中 的 OXC 节点 具有 多 个 标准 的 光纤 接 
口 ， 可 对 任 一 光纤 信号 或 其 波长 信号 与 其 他 光纤 信号 进行 可 控 的 连接 ， 它 可 能 具有 波长 
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转换 能 力 ， 不 过 只 能 以 波长 级 的 粒度 交换 业务 。 通 常 WDM 网 络 结构 指 的 就 是 WDM 核 
心 网 络 这 部 分 。 


OXC 交换 节点 


1-62 接 入 网 络 和 WDM 核心 网 络 


WDM 网 络 中 的 节点 OADM 和 OXC 设备 , 通常 由 WDM 复 用 / 解 复 用 器 、 光 交换 矩 
阵 《〈 由 光 开 关 和 控制 部 分 组 成 )、 波 长 转换 器 和 节点 管理 系统 组 成 ， 主 要 完成 光路 上 下 、 
光 层 的 带宽 管理 、 光 网 络 的 保护 、 恢 复 和 动态 重 构 等 功能 。 


1.6.4.5 ”MSTP 网 络 


1. MSTP 技术 

MSTP (Multi-Service Transport Platform， 基 于 SDH 的 多 业务 传送 平台 ) 是 指 基 于 
SDH 平台 同时 实现 TDM、AIM、 以 太 网 等 业务 的 接 入 、 处 理 和 传送 ， 提 供 统一 网 管 的 
多 业务 节点 。 基 于 SDH 的 多 业务 传送 节点 除 应 具有 标准 SDH 传送 节点 所 具有 的 功能 外 ， 
还 具有 以 下 主要 功能 特征 : 

(1) 具有 TDM 业务 、ATM 业务 或 以 太 网 业务 的 接 入 功能 。 

(2) 具有 TDM 业务、ATM 业务 或 以 太 网 业务 的 传送 功能 ， 包 括 点 到 点 的 透明 传送 
功能 。 

(3) 具有 ATM 业务 或 以 太 网 业务 的 带宽 统计 复 用 功能 。 

(4) 具有 ATM 业务 或 以 太 网 业务 映射 到 SDH 虚 容 器 的 指 配 功 能 。 

基于 SDH 的 多 业务 传送 节点 可 根据 网 络 需 求 应 用 在 传送 网 的 接 入 层 、 汇聚 层 , 应 用 
在 骨干 层 的 情况 有 待 研究 。 

2. MSTP 的 工作 原理 

MSTP 是 将 传统 的 SDH 复 用 器 、 数 字 交 叉 连 接 器 (DXC)、WDM 终端 、 网 络 二 层 
交换 机 和 IP 边缘 路 由 器 等 多 个 独立 的 设备 集成 为 一 个 网 络 设备 ， 即 基于 SDH 技术 的 多 
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业务 传送 平台 (MSTP)， 进 行 统一 控制 和 管理 。 基 于 SDH 的 MSTP 最 适合 作为 网 络 边 
缘 的 融合 节点 支持 混合 型 业务 ， 特 别 是 以 TDM 业务 为 主 的 混合 业务 。 它 不 仅 适合 缺乏 
网 络 基础 设施 的 新 运营 商 ， 应 用 于 局 间或 POP 间 ， 还 适合 于 大 企 事业 用 户 驻地 。 而 且 即 
便 对 于 已 铺设 了 大 量 SDH 网 的 运营 公司 ， 以 SDH 为 基础 的 多 业务 平台 可 以 更 有 效 地 支 
持 分 组 数据 业务 ， 有 助 于 实现 从 电路 交换 网 向 分 组 网 的 过 渡 。 所 以 ， 它 将 成 为 城 域 网 近 
期 的 主流 技术 之 一 。 

这 就 要 求 SDH 必须 从 传送 网 转变 为 传送 网 和 业务 网 一 体 化 的 多 业务 平台 , 即 融合 的 
多 业务 节点 ,MSTP 的 实现 基础 是 充分 利用 SDH 技术 对 传输 业务 数据 流 提 供 保护 恢复 能 
力 和 较 小 的 延 时 性 能 ， 并 对 网 络 业 务 支 撑 层 加 以 改造 ， 以 适应 多 业务 应 用 , 实现 对 二 层 、 
三 层 的 数据 智能 支持 。 即 将 传送 节点 与 各 种 业务 节点 融合 在 一 起 ， 构 成 业务 层 和 传送 层 
一 体 化 的 SDH 业务 节点 ， 称 为 融合 的 网 络 节点 或 多 业务 节点 ， 主 要 定位 于 网 络 边缘 。 

3. MSTP 的 特点 

(1) 业务 的 带宽 灵活 配置 ，MSTP 上 提供 的 10/100/1000Mbps 系列 接口 ， 通 过 VC 
的 捆绑 可 以 满足 各 种 用 户 的 需求 。 

(2) 可 以 根据 业务 的 需要 ， 工 作 在 端口 组 方式 和 VLAN 方式 。 

Q@ 端口 组 方式 。 

单 板 上 全 部 的 系统 和 用 户 端 口 均 在 一 个 端口 组 内 。 这 种 方式 只 能 应 用 于 点 对 点 对 开 
的 业务 。 换 句 话 说 ,也 就 是 任何 一 个 用 户 端口 和 任何 一 个 系统 端口 (因为 只 有 一 个 方向 ， 
所 以 没有 必要 启动 所 有 的 系统 端口 ， 一 个 就 足够 了 ) 被 启用 了 ， 网 线 插 在 任何 一 个 启用 
的 用 户 端 口上 ， 那 个 用 户 端口 就 享有 了 所 有 带宽 ， 业 务 就 可 以 开通 。 

@ VLAN 方式 。 

VLAN 方式 分 为 接 入 模式 和 干线 模式 。 

其 中 的 接 入 模式 ， 如 果 不 设 定 VLAN ID， 则 端口 处 于 端口 组 的 工作 方式 下 ， 单 板 上 
全 部 的 系统 和 用 户 端口 均 在 一 个 端口 组 内 。 

如 果 设 定 了 VLAN ID， 需 要 设 定 “端口 VLAN 标记 ”。 这 是 因为 交换 芯片 会 为 收 到 
的 数据 包 增 加 VLAN ID， 然 后 通过 系统 端口 走光 纤 发 到 对 端 同样 VLAN ID 的 端口 上 。 
比如 某 个 用 户 端口 VLAN ID 为 2， 则 对 应 站 点 的 用 户 端 口 的 VLAN ID 也 应 该 设 定 为 2。 
这 种 模式 可 以 应 用 于 多 个 方向 的 MSTP 业务 ， 这 时 每 个 方向 的 端口 都 要 设置 不 同 的 
VLANID。 然 后 把 该 方向 的 用 户 端口 和 系统 端口 放置 到 一 个 虚拟 网 桥 中 《该 虚拟 网 桥 的 
VLAN ID 必须 与 “端口 VLAN 标记 ”一 样 )。 

(3) 可 以 工作 在 全 双 工 、 半 双 工 和 自 适应 模式 下 ， 具 备 MAC 地 址 自学 习 功 能 。 

(4) QoS 设置 。 

QoS 实际 上 限制 端口 的 发 送 ， 原 理 是 发 送 端口 根据 业务 优先 级 上 有 许多 发 送 队 列 ， 
根据 QoS 的 配置 和 一 定 的 算法 完成 各 类 优先 级 业务 的 发 送 。 因 此 ， 当 一 个 端口 可 能 发 送 
来 自 多 个 来 源 的 业务 ， 而 且 总 的 流量 可 能 超过 发 送 端口 的 发 送 带宽 时 ， 可 以 设置 端口 的 
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QoS 能 力 ， 并 相应 地 设置 各 种 业务 的 优先 级 配置 。 当 QoS 不 作 配 置 时 ， 带 宽 平均 分 配 ， 
多 个 来 源 的 业务 尽力 传输 。Qos 的 配置 就 是 规定 各 端口 在 共享 同一 带宽 时 的 优先 级 及 所 
占用 带宽 的 额度 。 

(5) 对 每 个 客户 独立 运行 生成 树 协议 。 


1.6.4.6 ”移动 通信 网络 


移动 通信 网 络 目前 正 从 第 二 代 向 第 三 代 (简称 3G) 演进 。 第 二 代 移 动 通信 网 络 主要 
有 GSM、GPRS 和 CDMA 等 ; 而 3G 网 络 依据 三 大 主流 无 线 接 入 技术 有 WCDMA、 
CDMA2000 和 TD-SCDMA 网 络 。 

1. GSM 网 络 

GSM (Global System for Mobile Communication， 全 球 移 动 通信 系统 ) 规范 的 第 一 阶 
段 于 1989 年 完成 ， 第 一 个 系统 于 1991 年 建成 ， 自 1992 年 商业 业务 运营 开始 ， 目 前 100 
多 个 国家 的 GMS 用 户 已 经 有 了 世界 范围 的 漫游 覆盖 、 各 种 操作 环境 下 出 色 的 话音 质量 
及 许多 增值 业务 。 移 动 数 据 通信 是 在 数据 通信 基础 上 发 展 起 来 的 一 种 通信 方式 。 以 往 的 
数据 通信 依赖 于 有 线 传输 ， 因 此 只 适合 于 固定 终端 或 计算 机 之 间 的 通信 ， 而 移动 数据 通 
信和 是 通过 无 线 电波 来 传送 数据 的 ， 因 而 有 可 能 实现 移动 状态 下 的 数据 通信 。 狭 义 地 说 ， 
移动 数据 通信 就 是 计算 机 间或 计算 机 与 人 之 间 的 无 线 通信 ， 它 通过 与 有 线 数据 网 互 连 ， 
把 有 线 数据 网 络 的 应 用 扩展 到 移动 和 便携 用 户 。 

GSM 移动 数据 业务 主要 分 为 电路 型 数据 业务 和 分 组 数据 业务 。GSM 第 一 阶段 提供 
的 9600bps 传输 速率 数据 业务 和 短 消息 业务 及 Phase 2+ 阶 段 提出 的 HSCSD 都 属于 电路 
型 数据 业务 。Phase 2+ 阶 段 提 出 的 GPRS (General Packet Radio Service， 通 用 分 组 无 线 业 
务 ) 则 属于 分 组 型 数据 业务 ， 是 建立 在 GSM 基础 上 的 2.5G 的 无 线 网 络 技术 ， 是 第 二 代 
移动 通信 技术 GSM 向 第 三 代 移动 通信 (3G) 的 过 渡 技术 ， 面 向 用 户 提供 移动 分 组 的 I 
或 者 X.25 连接 。 由 于 引入 分 组 概念 ，GPRS 为 目前 使 用 的 设备 无 线 接 入 Intemet 提供 了 
一 种 先进 的 有 效 的 手段 ， 可 应 用 于 移动 计算 、 手 持 设 备 的 Intemet 互联 、 远 程 数 据 采集 
和 监控 等 多 种 场合 。 

2. GPRS 网 络 

GPRS 是 一 种 采用 分 组 交换 技术 传输 数据 及 信 令 的 高 效率 数据 传输 方式 .GPRS 是 区 
别 于 原 有 GSM 电路 交换 方式 的 另 一 种 数据 传输 方式 ， 它 利用 存储 转发 原理 ， 把 不 同 终 
端的 数据 分 割 成 等 长 标准 数据 格式 ， 通 过 非 专用 的 逻辑 子 信道 进行 数据 快速 交换 ， 即 将 
信息 分 成 数据 分 组 或 信息 包 ， 再 加 上 包含 目的 地 址 、 分 组 编号 、 控 制 比特 等 的 分 组 头 ， 
沿 不 同 路 由 进行 传送 ， 接 收 端 按照 分 组 编号 重新 组 装 成 原始 信息 。 分 组 通信 的 实质 是 依 
靠 高 处 理 能 力 的 计算 机 来 充分 利用 宝贵 的 通信 信道 资源 。 基 于 分 组 交换 的 GPRS 业务 理 
论 上 的 速率 可 达到 171.2kbps。 

分 组 交换 基本 上 不 是 实时 系统 ， 延 时 也 不 固定 ， 但 可 以 使 不 同 的 数据 传输 “共用 ” 
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传输 带宽 ; 有 数据 时 占用 带宽 ， 无 数据 时 不 占用 ， 从 而 分 享 资源 。 在 GSM 无 线 系统 中 ， 
无 线 信道 资源 非常 宝贵 。 如 采用 电路 交换 ， 通 信和 需要 建立 端 到 端的 连接 ， 信 道 只 能 被 一 
个 用 户 独占 ， 在 成 本 效率 上 显然 缺乏 可 行 性 。 而 采用 分 组 交换 的 GPRS 则 可 灵活 运用 无 
线 信道 ， 每 一 个 用 户 可 以 有 多 个 无 线 信道 ， 而 同一 信道 又 可 以 由 几 个 用 户 共 享 ， 从 而 极 
大 的 提高 了 无 线 资源 的 利用 率 。 由 于 GPRS 用 户 的 数据 通信 费 是 以 数据 流量 为 基础 ， 而 
不 考虑 通信 时 长 ， 所 以 GPRS 用 于 IP 业务 的 接 入 将 更 为 用 户 所 接受 。 

3. CDMA 网 络 

目前 的 数字 移动 通信 网 的 主要 多 址 方式 是 TDMA。TDMA 系统 (GSM, DAMPS) 
在 频谱 效率 上 约 是 模拟 系统 的 3 倍 ,容量 有 限 ; 在 话音 质量 上 13kbps 编码 也 很 难 达到 有 
线 电话 水 平 。TDMA 系统 的 业务 综合 能 力 较 高 ， 能 进行 数据 和 话音 的 综合 ， 但 终端 接 入 
速率 有 限 〈 最 高 9.6kbps); TDMA 系统 无 软 切 换 功 能 ， 因 而 容易 掉 话 ， 影 响 服务 质量 ; 
TDMA 系统 的 国际 漫游 协议 还 有 待 进一步 的 完善 和 开发 。 因 而 TDMA 并 不 是 现代 蜂窝 
移动 通信 的 最 佳 无 线 接 入 ， 而 CDMA 多 址 技术 完全 适合 现代 移动 通信 网 所 要 求 的 大 容 
量 、 高 质量 、 综 合 业 务 、 软 切换 、 国 际 漫游 等 。 

CDMA 多 址 技术 的 原理 是 基于 扩 频 技术 ， 即 将 需 传送 的 具有 一 定 信 号 带宽 信息 数 
据 , 用 一 个 带宽 远大 于 信号 带宽 的 高 速 伪 随机 码 进行 调制 , 使 原 数据 信号 的 带宽 被 扩展 ， 
再 通过 载波 调制 并 发 送出 去 。 接 收 端 使 用 完全 相同 的 伪 随 机 码 ， 与 接收 的 宽带 信号 作 相 
关 处 理 ， 把 宽带 信号 换 成 包含 原 信 息 数据 的 窄带 信号 即 解 扩 ， 以 实现 信息 的 传输 。 

CDMA 系统 本 身 所 固有 的 许多 特点 : 频率 规划 简单 、 系 统 容量 大 、 频率 复 用 系数 高 、 
抗 多 径 能 力 强 、 通 信 质 量 好 、 软 容量 、 软 切换 等 ， 使 得 它 非常 适合 于 数字 蜂窝 移动 通信 
系统 。 但 是 CDMA 技术 也 面临 着 一 些 问 题 ， 除 了 多 径 衰落 、 时 延 扩展 和 远近 效应 等 蜂 
窝 移动 通信 系统 所 固有 的 问题 以 外 ， 也 存在 着 自己 所 特有 的 一 些 问题 ， 比 如 多 址 干扰 和 
使 用 的 体制 问题 等 。 

4. TD-SCDMA 网 络 

TD-SCDMA 作为 中 国 提出 的 第 三 代 移 动 通信 标准 (简称 3G)， 自 1998 年 正式 向 ITU 
〈 国 际 电 联 ) 提交 以 来 ， 已 完成 了 标准 的 专家 组 评估 、ITU 认可 并 发 布 、 与 3GPP〔〈 第 三 
代 伙 伴 项 目 ) 体系 的 融合 、 新 技术 特性 的 引入 等 一 系列 的 国际 标准 化 工作 ， 从 而 使 
TD-SCDMA 标准 成 为 第 一 个 由 中 国 提出 的 、 以 我 国 知识 产权 为 主 的 、 被 国际 上 广泛 接受 
和 认可 的 无 线 通信 国际 标准 。 这 是 我 国电 信 史 上 重要 的 里 程 碑 。 

TD-SCDMA 是 世界 上 第 一 个 采用 时 分 双 工 TDD) 方式 和 智能 天 线 技术 的 公众 陆 
地 移动 通信 系统 ， 也 是 唯一 采用 同步 CDMA (SCDMA) 技术 和 低 码 片 速率 (LCR) 的 
第 三 代 移动 通信 系统 。 同 时 采用 了 联合 检测 、 软 件 无 线 电 、 接 力 切换 等 一 系列 高 新 技术 。 
至 今 为 止 , 其 他 公众 陆地 移动 通信 系统 中 都 没有 使 用 这 些 技术 , TD-SCDMA 系统 可 以 采 
用 这 些 技术 并 能 保证 它们 很 好 的 工作 。 

TD-SCDMA 综合 了 TDD 和 CDMA 的 所 有 技术 优势 ， 具 有 灵活 的 空中 接口 ， 并 采 
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用 了 智能 天 线 、 联 合 检测 等 先进 技术 ， 具 有 相当 高 的 技术 先进 性 ， 并 且 在 目前 主流 标准 
中 具有 最 高 的 频谱 效率 。 随 着 大 范围 覆盖 和 高 速 移动 等 问题 的 逐步 解决 , TD-SCDMA 将 
成 为 使 用 经 济 并 能 得 到 令 人 满意 效果 的 第 三 代 移动 通信 解决 方案 。 


1.6.4.7 ”WiMAX 网络 


1. WiMAX 技术 

WiMAX(Worldwide Interoperability for Microwave Access) 是 基于 IEEE 802.16 标准 。 
802.16 是 下 EE-SA 在 1999 年 成 立 的 专门 开发 宽带 固定 无 线 技术 标准 ， 目 标 就 是 要 建立 
一 个 全 球 统一 的 宽带 无 线 接 入 标准 。 而 WiMAX 组 织 也 是 为 了 实现 这 一 目标 而 由 几 家 世 
界 知名 企业 发 起 成 立 的 。 随 着 WiMAX 组 织 的 发 展 壮大 ， 加 快 了 802.16 标准 的 发 展 ， 特 
别 是 移动 WiMAX-802.16e 标准 的 提出 更 加 引 人 注 意 。 

IEEE802.16 标准 又 称 为 EEE Wireless MAN 空中 接口 标准 ， 是 工作 于 2 一 66GHz 无 
线 频 带 的 空中 接口 规范 。 由 于 它 所 规定 的 无 线 系统 覆盖 范围 可 高 达 50km， 因 此 802.16 
系统 主要 应 用 于 城 域 网 , 符合 该 标准 的 无 线 接 入 系统 被 视 为 可 与 DSL 竞争 的 最 后 一 公里 
宽带 接 入 解决 方案 。 根 据 使 用 频带 高 低 的 不 同 ，802.16 系统 可 分 为 应 用 于 视 距 和 非 视 距 
两 种 ,其 中 使 用 2 一 11GHz 频带 的 系统 应 用 于 非 视 距 (NLOS) 范围 ,而 使 用 10 一 66GHz 
频带 的 系统 应 用 于 视 距 (LOS) 范围 。 根 据 是 否 支持 移动 特性 ，802.16 标准 又 可 分 为 固 
定 宽带 无 线 接 入 空中 接口 标准 和 移动 宽带 无 线 接 入 空中 接口 标准 。 

当前 ， 在 IEEE 802.16 协议 中 规定 WiMAX 支持 的 业务 类 型 和 使 用 无 线 信道 频率 如 
表 1-6 所 示 。 


表 1-6 IEEE 802.16 的 工作 频率 


空中 接口 标准 支持 业务 
IEEE 802.16 固定 宽带 无 线 接 入 

IEEE 802.16a 固定 宽带 无 线 接 入 

IEEE 802.16¢ 10~66GHz 固定 宽带 无 线 接 入 的 兼容 性 
IEEE 802.16d 2~66GHz 固定 宽带 无 线 接 入 的 修订 


IEEE 802.16e 移动 宽带 无 线 接 入 


而 现在 WiMAX 网 络 的 相关 标准 也 在 不 断 发 展 , IEEE 802.16 标准 系列 到 目前 为 止 包 
括 802.16、802.16a、802.16c、802.16d、802.16e、802.16f 和 802.16g 七 个 标准 ， 各 标准 
相对 应 的 技术 领域 如 表 1-7 所 示 。 


表 1-7 IEEE 802.16 系列 各 标准 相对 应 的 技术 领 城 
相对 应 的 技术 领域 


IEEE 802.16 10~66GHz 固定 宽带 无 线 接 入 系统 空中 接口 
IEEE 802.16a | ”2~11GHz 固定 宽带 接 入 系统 空中 接口 


IEEE 802.16c 10~66GHz 固定 宽带 接 入 系统 的 兼容 性 
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续 表 
标 准 号 相对 应 的 技术 领域 
IEEE 802.16d | 2 一 66GHz 固定 宽带 接 入 系统 空中 接口 
IEEE 802.16e 2 一 6GHz 固定 和 移动 宽带 无 线 接 入 系统 空中 接口 管理 信息 库 
IEEE 802.16f 固定 宽带 无 线 接 入 系统 空中 接口 管理 信息 库 (MIB) 要 求 
IEEE 802.16g 固定 和 移动 宽带 无 线 接 入 系统 空中 接口 管理 平面 流程 和 服务 


2.802.16 标准 的 网 络 结构 
图 1-63 所 示 的 为 WiMAX 网络 体系 结构 。 


TE TE 


图 1-63 WiMAX 网络 结构 示意 图 


WiMAX 网 络 体系 结构 包括 核心 网 络 、 基 站 (BS)、 用 户 基 站 (SS)、 接 力 站 RS)、 
用 户 终端 设备 (TE)〉 以 及 网 管 。 

WiMAX 连接 的 核心 网 络 通常 为 传统 交换 网 或 Intermet。WiMAX 系统 提供 核心 网 与 
基站 之 间 的 接口 ， 但 WiMAX 系统 不 包括 核心 网 络 。 

基站 提供 用 户 基 站 与 核心 网 之 间 的 连接 , 通常 采用 扇形 、 定 向 或 全 向 天 线 。 WiMAX 
基站 可 提供 灵活 的 子 信道 部 署 与 配置 功能 ， 能 够 使 运营 商 根据 所 拥有 的 频段 资源 灵活 规 
划 信 道 带宽 ， 并 根据 用 户 群 体 情 况 不 断 的 升级 扩展 网 络 。 

用 户 基站 提供 基站 与 用 户 终端 设备 之 间 的 中 继 连 接 。IEEE 802.16 用 户 基 站 通常 采用 
固定 天 线 ， 并 被 安装 在 屋顶 上 。 基 站 与 用 户 基站 间 采 用 动态 适应 信号 调制 模式 ， 这 种 模 
式 使 得 基站 根据 信号 强 弱 调整 到 每 个 用 户 基 站 的 带宽 ， 以 确保 与 用 户 基站 的 正常 连接 。 

接力 站 通常 用 于 提高 基站 的 覆盖 能 力 ， 也 就 是 充当 一 个 基站 和 若干 个 用 户 基站 《或 
用 户 终端 设备 ) 间 信 息 的 中 继 站 。 接 力 站 面向 用 户 侧 的 下 行 频率 可 以 与 其 面向 基站 的 上 
行 频率 相同 ， 也 可 以 不 同 。 

WiMAX 系统 定义 用 户 终端 设备 与 用 户 基 站 间 的 连接 接口 ， 提 供用 户 终端 设备 的 
接 入 。 

网 管 系统 用 于 监视 和 控制 网 络 内 所 有 的 基站 和 用 户 基 站 ， 提 供 查 询 、 状 态 监控 、 软 
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件 下 载 、 系 统 参数 配置 等 功能 。 

在 IEEE 802.16d 及 以 前 的 版 本 中 ，WiMAX 系统 不 支持 终端 设备 的 移动 性 ， 一 幢 大 
楼 安装 一 个 SS， 起 到 了 固定 无 线 宽带 接 入 的 作用 。802.16e 协议 使 网 络 终端 具有 移动 性 ， 
终端 设备 能 够 在 BS 之 间 自 由 地 进行 切换 和 漫游 。WiMAX 系统 的 MAC 层 支 持 两 种 网 络 
模式 : 点 到 多 点 (Point to MultiPoint，PMP) 模式 和 Mesh 模式 。 

3. WiMAX 网 络 带宽 请 求 原理 

1) PMP 模式 带宽 请 求 原理 

在 WiMAX 网 络 的 PMP 模式 中 ， 基 站 控制 了 上 行 链 路 的 带宽 分 配 ， 各 个 用 户 站 只 
能 通过 时 间 帧 的 上 行 子 帧 向 基站 发 送 传输 请 求 。 

当 应 用 程序 通过 用 户 站 访问 网 络 资源 时 ， 用 户 站 首先 根据 该 应 用 程序 的 服务 类 型 向 
基站 发 起 连接 请 求 。 基 站 根据 相应 的 接 入 控制 算法 决定 是 否 允 许 该 服务 接 入 网 络 ， 并 把 
相应 的 请 求 结果 发 送 回 用 户 站 。 只 有 当 该 服务 被 接受 时 ， 用 户 站 才能 向 基站 提出 带宽 请 
求 。 在 WiMAX 网 络 中 ， 时 间 帧 被 分 为 多 个 小 的 时 间隙 〈time slot)， 基 站 在 收 到 用 户 站 
的 带宽 请 求 后 ， 根 据 特定 的 带宽 分 配 算法 为 各 个 用 户 站 分 配 带宽 资源 ， 并 设置 时 间 帧 的 
UL_ MAP 部 分 来 通知 带宽 分 配 的 结果 ， 即 各 个 用 户 站 的 可 用 带宽 范围 。 用 户 站 接收 到 来 
自 基 站 的 时 间 帧 后 ， 它 将 分 析 时 间 帧 的 UL_MAP 部 分 来 得 到 下 一 个 时 间 帧 的 帧 结构 ， 
从 而 得 到 数据 传输 部 分 的 带宽 分 配 信息 。 用 户 站 只 能 在 其 允许 的 时 间 间 隙 内 传输 数据 。 

当 基 站 的 可 用 带宽 资源 充足 时 ， 基 站 将 采用 轮 询 的 方式 遍历 各 个 用 户 站 ， 并 根据 用 
户 站 的 带宽 需求 向 各 个 用 户 站 提供 带宽 资源 。 当 基站 的 可 用 带宽 资源 处 于 缺乏 状态 时 ， 
用 户 站 通过 竞争 的 方式 获取 网 络 资源 。 用 户 站 在 使 用 竞争 方式 获取 带宽 资源 时 ， 不 同 的 
用 户 站 在 请 求 传输 机 会 Transmission Opportunities，TO) 时 会 发 生 请 求 碰 撞 。 当 前 ， 
IEEE 802.16 标准 使 用 截断 二 进 制 指数 后 退 的 方式 来 协调 各 个 用 户 站 在 带宽 请 求 阶段 和 
初始 连接 阶段 产生 的 冲突 。 

2) Mesh 模式 带宽 请 求 原 理 

在 WiMAX 网 络 的 Mesh 模式 中 ， 用 户 站 通过 直 连 或 者 中 继 的 方式 与 其 他 用 户 站 相 
连 ， 每 个 用 户 站 与 基站 一 样 既是 数据 接收 端 又 是 数据 中 转发 送 端 。 当 前 ，Mesh 模式 在 
MAC 层 中 存在 两 种 时 隙 调度 方式 : 集中 式 调度 (Mesh Centralized Scheduling，Mesh-CS) 
和 分 布 式 调度 (Mesh Distributed Scheduling，Mesh-DS)， 各 用 户 站 为 其 频谱 覆盖 范围 内 
的 网 络 设备 提供 数据 传输 服务 。 

在 Mesh-CS 调度 方式 中 ，Mesh 基站 根据 各 个 用 户 站 的 带宽 请 求 为 各 个 用 户 站 分 配 
带宽 资源 ， 与 WiMAX 网 络 PMP 模式 不 同 的 是 ，Mesh-CS 模式 中 的 基站 并 不 参与 其 管 
理 用 户 站 的 数据 传输 ， 仅 进行 无 线 网 络 的 带宽 分 配 。 

在 Mesh-DS 调度 方式 中 ,各 个 用 户 站 通过 竞争 的 方式 使 用 无 线 网 络 带宽 资源 。 用 户 
站 只 有 与 其 邻居 节点 进行 协商 ， 在 获得 可 用 带宽 时 阶 的 前 提 下 才能 进行 数据 传输 。 
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4. WiMAX 应 用 场景 

WiMAX 作为 城 域 网 接 入 手段 ， 采 用 了 多 种 技术 满足 建筑 物 阻挡 情况 下 的 非 视 距 
(NLOS) 和 阻挡 视 距 〈OLOS ) 的 传播 需求 ， 因 此 其 可 以 实现 非 视 距 传输 〈 这 种 情形 下 
的 传输 距离 会 缩短 )。802.16d 主要 适用 于 无 线 传输 和 中 小 型 企业 接 入 ，802.16e 主要 适用 
于 家 庭 接 入 和 个 人 终端 ， 支 持 数据 、 语 音 和 视频 等 业务 ， 可 与 2G、3G、WLL、WLAN、 
NGN 等 网 络 混 合 组 网 。 

固定 接 入 :固定 接 入 业务 是 WiMAX 运 营 网 络 中 最 基本 的 业务 模型 ,类似 于 固定 DSL 
或 电缆 宽带 业务 。 在 这 个 场景 下 ， 不 支持 便携 式 连接 或 切换 。SS 可 以 选择 或 者 将 连接 改 
变 到 最 佳 的 信号 的 基站 。 在 这 个 场景 下 , 在 卫 连接 建立 之 前 ， 必 须 进 行 鉴 权 或 授权 。 终 
端 一 般 为 小 盒子 ， 一 般 有 室外 型 的 ODU 和 和 天线， 市 场 容量 一 般 。 

游牧 式 : 游牧 式 业务 是 固定 接 入 方式 发 展 的 下 一 个 阶段 , 终端 可 以 从 不 同 的 接 入 点 ， 
接 入 一 个 运营 商 的 WiMAX 网 络 ， 不 支持 不 同 基 站 之 间 的 切换 。 此 种 应 用 可 以 和 固定 接 
入 同时 提供 。 

便携 式 :便携式 业务 是 游牧 式 发 展 的 下 一 个 阶段 ， 在 步行 速度 下 具有 有 限 的 切换 能 
力 。 当 终端 静止 不 动 时 ， 便 携 式 业务 的 应 用 模型 与 固定 式 业 务 和 游牧 式 业务 相同 。 此 应 
用 场景 主要 面向 家 庭 接 入 和 商务 人 士 用 户 市 场 , 终端 一 般 为 PCMCIA 卡 ， 放 置 在 便携 机 
里 ; 市场 容量 较 大 。 

全 移动 : 支持 车 速 移动 下 无 中 断 的 应 用 ， 面 向 个 人 用 户 市 场 ， 可 漫游 切换 ， 终 端 一 
般 为 PDA; 市 场 容量 很 大 。 


1.6.4.8 Ad hoc 网 络 


Adhoc 网 络 是 一 种 特殊 的 无 线 移动 通信 网 络 , 它 是 由 一 组 带 有 无 线 收发 装置 的 移动 
终端 组 成 的 一 个 多 跳 的 临时 性 自治 系统 。Ad hoc 网 络 的 前 身 是 分 组 无 线 网 (packet radio 
network，PRNET)。 对 分 组 无 线 网 的 研究 源 于 军事 通信 的 需要 ， 并 已 经 持续 了 近 30 年 。 
早 在 1972 年 ， 美 国 国防 部 高 级 研究 规划 署 (DARPA) 就 启动 了 分 组 无 线 网 项 目 ， 研 究 
分 组 无 线 网 在 战场 环境 下 数据 通信 中 的 应 用 。PRNET 项 目 完成 之 后 ，DARPA 又 在 1983 
年 启动 了 高 残存 性 自 适应 网 络 项 目 ， 研 究 如 何 将 PRNET 的 成 功 加 以 扩展 ， 以 支持 更 大 
规模 的 网 络 。 此 外 ， 还 要 开发 能 够 适应 战场 快速 变化 环境 需要 的 自 适应 网 络 协 议 。1994 
年 ，DARPA 又 启动 了 全 球 移动 信息 系统 项 目 。 对 能 够 满足 军事 应 用 需要 的 、 可 快速 展 
开 、 高 抗 毁 性 的 移动 信息 系统 进行 全 面 深入 地 研究 。 成 立 于 1991 年 5 月 的 IEEE 802.11 
标准 委员 会 采用 了 “Ad Hoc 网 络 ” 一 词 来 描述 这 种 特殊 的 自 组 织 、 对 等 式 、 多 跳 无 线 移 
动 通信 网 络 , Ad hoc 网 络 就 此 诞生 .IETF 则 将 Ad hoc 网 络 称 为 移动 Ad hoc 网 络 (Mobile 
Ad Hoc NETwork，MANET )。 

1. Ad hoc 基本 概念 

“Ad Hoc” 一 词 来 源 于 拉丁 语 ， 其 意思 是 “特别 的 ， 临 时 的 ”。Ad hoc 网 络 是 由 一 组 
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带 有 无 线 收 发 装置 的 移动 终端 组 成 的 一 个 多 跳 的 临时 性 自治 系统 。 网 络 中 的 移动 终端 具 
有 路 由 和 报 文 转发 功能 ， 可 以 通过 无 线 连接 构成 任意 的 网 络 拓扑 。 这 种 网 络 可 以 独立 工 
作 ， 也 可 以 接 入 Intemet 或 蜂窝 无 线 网 络 。 在 后 一 种 情况 下 ， 移 动 Ad hoc 网 络 通常 是 以 
末端 子 网 的 形式 接 入 现 有 网 络 。 考虑 到 带宽 和 功率 的 限制 ,移动 Ad hoc 网 络 一 般 不 适 于 
作为 中 间 承 载 网 络 。 它 只 允许 产生 于 或 目的 地 是 网 络 内 部 节点 的 信息 进出 ， 而 不 让 其 他 
信息 穿越 本 网 络 ， 从 而 大 大 减少 了 与 现 有 Intemet 互 操作 的 路 由 开销 。 

Adhoc 网 络 的 节点 同时 具有 移动 终端 和 路 由 器 的 功能 ， 因 此 节点 通常 包括 主机 、 路 
由 器 和 电台 三 部 分 。 其 中 主机 部 分 完成 移动 终端 的 功能 ， 包 括 人 机 接口 、 数 据 处 理 等 ; 
路 由 器 部 分 主要 负责 维护 网 络 的 拓扑 结构 和 路 由 信息 ， 完 成 报 文 的 转发 功能 ， 电 台 部 分 
提供 无 线 传输 功能 。 从 物理 结构 上 分 ， 节 点 可 以 分 为 以 下 几 类 : 单 主机 单 电台 、 单 主机 
多 电台 、 多 主机 多 电台 、 多 主机 单 电 台 。 手 持 机 一 般 采 用 单 主机 单 电台 ， 复 杂 的 车 载 台 
可 能 包括 通信 车 内 的 多 个 主机 ， 它 可 以 采用 多 主机 单 /多 电台 结构 ， 以 实现 多 个 主机 共享 
一 个 或 多 个 电台 。 多 电台 使 节点 具有 更 大 的 灵活 性 和 自 适 应 能 力 。 

由 于 节点 的 能 力 通 常 相同 并 可 以 移动 ， 使 得 Ad hoc 网 络 不 适用 采用 集中 式 控制 结 
构 ， 因 此 ，Ad hoc 网 络 一 般 有 两 种 结构 : 平面 结构 和 分 级 结构 。 平 面 结构 中 所 有 节点 的 
地 位 平等 ， 所 以 又 可 以 称 为 对 等 式 结构 。 在 分 级 结构 中 ， 网 络 被 划分 为 徐 (cluster)。 每 
个 簇 由 一 个 簇 头 (cluster header) 和 多 个 簇 成 员 (cluster member) 组 成 。 这 些 簇 头 又 组 
成 了 更 高 一 级 的 网 络 。 在 分 级 结构 中 , 簇 头 节点 负责 簇 间 数 据 的 转发 , 它 可 以 预先 指定 ， 
也 可 以 由 节点 使 用 算法 选举 产生 。 根 据 不 同 的 硬件 配置 ， 分 级 结构 的 网 络 又 可 以 被 分 为 
单 频率 分 级 和 多 频率 分 级 两 种 ， 这 里 的 频率 应 理解 为 信道 。 

根据 Ad hoc 网 络 的 特征 ， 参 照 OSI 的 七 层 协议 模型 和 TCP/TP 的 体系 结构 ， 可 以 将 
Ad hoc 网 络 的 协议 划分 为 5 层 ， 分别 是 物理 层 、 链 路 层 、 网 络 层 、 传 输 层 和 应 用 层 。 每 
层 独立 地 设计 和 操作 ， 各 层 间 的 接口 是 静态 的 并 与 网 络 的 约束 和 应 用 的 需求 无 关 。 为 了 
满足 Ad hoc 网 络 的 特殊 要 求 , 需要 一 种 能 够 在 协议 体系 的 多 个 层 支 持 自 适应 和 优化 性 能 
的 跨 层 协议 体系 结构 ， 并 根据 所 支持 的 应 用 来 设计 系统 ， 即 采用 基于 应 用 和 网 络 特征 的 
跨 层 体 系 结构 。 

2. Ad hoc 网 络 特点 

与 传统 通信 和 网络 相 比 ，Ad hoc 网 络 具 有 以 下 显著 特点 。 

(1) 独立 组 网 : Adhoc 网 络 具 有 独立 组 网 能 力 ， 即 网 络 的 布设 无 须 依赖 于 任何 预先 
架设 的 网 络 设施 。 节 点 开机 后 就 可 以 快速 、 自 动 地 组 成 一 个 独立 的 网 络 。 

(2) 无 中 心 : Ad hoc 网 络 采用 无 中 心 结构 ， 所 有 节点 的 地 位 平等 ， 组 成 一 个 对 等 式 
网 络 , 其 中 的 节点 可 以 随时 加 入 和 离开 网 络 , 任意 节点 的 故障 不 会 影响 整个 网 络 的 运行 。 
与 有 中 心 网 络 相 比 ，Ad hoc 网 络 具有 很 强 的 抗 毁 性 。 

(3) 自 组 织 : Ad hoc 网 络 没 有 严格 的 控制 中 心 ， 所 有 节点 通过 分 层 的 网 络 协议 和 分 
布 式 算 法 协调 各 自 的 行为 。 无 中 心 和 自 组 织 特点 使 得 Ad hoc 网 络 可 以 实现 快速 自动 
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组 网 。 

(4) 多 跳 路 由 : 由 于 发 射 功率 的 限制 ， 节 点 的 覆盖 范围 是 有 限 的 。 当 要 与 其 覆盖 范 
围 之 外 的 节点 进行 通信 时 ， 需 要 中 间 节 点 的 转发 ， 即 要 经 过 多 跳 。 与 普通 网 络 中 的 多 跳 
不 同 ，Ad hoc 网 络 中 的 多 跳 路 由 是 由 普通 节点 共同 协作 完成 的 ， 而 不 是 由 专门 的 路 由 设 
备 完成 的 。 

(5) 动态 拓扑 : Ad hoc 网 络 中 ， 移 动 终端 能 够 以 任意 可 能 的 速度 和 移动 模式 移动 ， 
并 且 可 以 随时 关闭 电台 ， 加 上 无 线 发 送 装置 的 天 线 类 型 多 种 多 样 、 发 送 功率 的 变化 、 无 
线 信道 间 的 随时 干扰 、 地 形 和 天 和 气 等 综合 因素 的 影响 ， 移 动 终端 间 通过 无 线 信道 形成 的 
网 络 拓扑 随时 可 能 发 生变 化 ， 而 且 变化 的 方式 和 速度 都 难以 预测 。 在 网 络 拓扑 图 中 ， 这 
些 变化 主要 体现 为 节点 和 链 路 的 数量 及 分 布 的 变化 。 

(6) 特殊 的 无 线 信道 特征 : Ad hoc 网 络 采用 无 线 传输 技术 ， 由 于 无 线 信道 本 身 的 特 
性 ， 它 所 能 提供 的 网 络 带 宽 相 对 于 有 线 信 道 要 低 得 多 ， 并 且 无 线 信道 的 质量 较 差 。 考 虑 
到 竞争 共享 无 线 信道 的 冲突 、 信 和 号 衰减 、 噪 音 和 信道 之 间 干 扰 等 因素 ， 移 动 终端 获得 的 
实际 带宽 远 远 小 于 理论 上 的 最 大 带宽 , 并 且 会 随时 间 动 态 地 发 生变 化 。 在 Ad hoc 网 络 中 ， 
节点 的 发 送 功率 受 限 ， 一 个 节点 的 发 送 ， 只 有 其 一 跳 相 邻 节点 可 以 听 到 ， 而 此 范围 之 外 
的 其 他 节点 觉察 不 到 。 这 一 特征 一 方面 提高 了 信道 的 空间 复 用 度 ， 另 一 方面 使 得 报 文 的 
冲突 与 节点 所 处 的 地 理 位 置 相关 。 此 外 , 地 形 和 发 射 功率 等 因素 使 得 Ad hoc 网 络 中 可 能 
存在 单 向 无 线 信道 。 例 如 ， 车 载 终端 的 发 送 功率 大 于 手持 终端 ， 手 持 终端 可 以 收 到 来 自 
车 载 终 端的 信号 ， 而 车 载 终端 无 法 收 到 来 自 手持 终端 的 信号 ， 即 存在 从 车 载 终端 到 手持 
终端 的 单 向 信道 。 

(7) 移动 终端 的 局 限 性 ， 移动 终端 具有 便携 方便 、 轻 便 灵 巧 等 优点 ， 但 也 存在 其 固 
有 的 缺陷 ， 如 能 源 受潮 ， 内 存 较 小 、CPU 处 理 能 力 较 低 和 成 本 较 高 等 ， 从 而 给 设计 开发 
和 应 用 推广 带 来 一 定 难度 ， 同 时 显示 屏 等 外 设 的 功能 和 尺寸 受 限 ， 不 利于 开展 功能 较 复 
杂 的 业务 。 考 虑 到 成 本 和 易于 携带 ， 移 动 节点 不 能 配备 太 多 数量 的 发 送 接收 器 ， 并 且 节 
点 一 般 依靠 电池 供电 。 因 此 如 何 高 效 地 使 用 节点 的 电能 和 延长 节点 的 工作 时 间 是 一 个 十 
分 突出 的 问题 。 

(8) 安全 性 差 : Ad hoc 网 络 是 一 种 特殊 的 无 线 移 动 网 络 ， 由 于 采用 无 线 信 道 、 有 限 
电源 、 分 布 式 控制 等 技术 ， 它 更 加 容易 受到 被 动 窃听 、 主 动 入 侵 、 拒 绝 服务 、 剥 夺 “ 睡 
眠 ”等 网 络 攻击 。 此 外 ，Ad hoc 网 络 由 节点 自身 充当 路 由 器 ， 不 存在 命名 服务 器 和 目录 
服务 器 等 网 络 设 施 , 也 不 存在 网 络 边界 的 概念 。 这 就 使 得 Ad hoc 网 络 中 的 安全 问题 非常 
复杂 ， 传 统 网 络 中 的 许多 安全 策略 和 机 制 将 不 再 适用 。 因 此 ， 信 道 加 密 、 抗 干扰 、 用 户 
认证 、 密 钥 管 理 、 访 问 控制 和 其 他 安全 措施 都 需要 特别 考虑 。 

3. 应 用 背景 

Ad hoc 网 络 的 许多 优良 特性 为 它 在 民用 和 军事 通信 和 领域 占据 一 席 之 地 提供 了 有 利 
的 保证 。 首 先 ， 网 络 的 自 组 织 特性 提供 了 廉价 而 且 快速 部 署 网 络 的 可 能 。 其 次 ， 多 跳 和 
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中 间 节 点 的 转发 特性 可 以 在 不 降低 网 络 覆盖 范围 的 条 件 下 减少 每 个 终端 的 发 射 功 率 ， 从 
而 降低 了 天 线 和 相关 发 射 /接收 部 件 的 设计 难度 和 成 本 ， 为 移动 终端 的 小 型 化 、 低 功率 提 
供 了 可 能 。 从 共享 无 线 信道 的 角度 看 ，Ad hoc 网 络 降低 了 信号 冲突 的 概率 ， 提 高 了 信道 
利用 率 。 从 用 户 的 角度 看 ， 低 功率 的 无 线 电波 产生 的 电磁 辐射 较 小 ， 对 人 身体 的 影响 较 
小 。 低 功率 的 无 线 电波 也 减少 了 被 截获 和 监听 的 概率 。 

Ad hoc 网 络 的 应 用 可 以 归纳 为 以 下 几 类 。 

(1) 军事 应 用 : 军事 应 用 是 Ad hoc 网 络 技术 的 主要 应 用 领域 。 因 其 特有 的 无 须 架 设 
网 络 设 施 、 可 快速 展开 、 抗 毁 性 强 等 特点 , 移动 Ad hoc 技术 已 成 为 数字 化 战场 通信 的 首 
选 技术 。 在 近年 来 得 到 迅速 发 展 的 美军 战术 互联 网 中 , Ad hoc 网 络 技术 是 它 的 核心 技术 。 
为 了 满足 信息 战 和 数字 化 战场 的 需要 。 美 军 研制 了 大 量 的 无 线 自 组 织 网 络 设备 ， 用 于 单 
兵 、 车 载 、 指 挥 所 等 不 同 的 场合 ， 并 大 量 装备 部 队 。 在 伊拉克 战争 中 ,移动 Ad hoc 网 络 
得 到 了 有 效 的 应 用 。 

(2) 传感器 网 络 : 传感器 网 络 是 Ad hoc 网 络 技术 应 用 的 另 一 大 领域 。 对 于 很 多 应 用 
场合 来 说 ， 传 感 器 网 络 只 能 使 用 无 线 通信 技术 。 而 考虑 到 体积 和 节能 等 因素 ， 传 感 器 的 
发 射 功率 不 可 能 很 大 , 使 用 Ad hoc 网 络 实现 多 跳 通 信和 是 非常 实用 的 解决 方法 。 分 散 的 传 
感 器 通过 Ad hoc 网 络 技术 组 成 一 个 网 络 ， 可 以 实现 传感器 之 间 和 与 控制 中 心 之 间 的 通 
信 。 这 种 网 络 在 军事 应 用 、 道 路 交通 、 工 业 制造 、 生 物 医药 以 及 各 种 安全 场合 都 具有 非 
常 广阔 的 应 用 前 景 。 

(3) 紧急 场合 : 在 发 生 了 地 震 、 水 灾 、 火 灾 或 遭受 其 他 灾难 打击 后 ， 固 定 的 通信 网 
络 设施 可 能 全 部 损毁 或 无 法 正常 工作 。 这 时 就 需要 Ad hoc 网 络 这 种 不 依赖 任何 固定 网 络 
设施 又 能 快速 布设 的 自 组 织 网 络 技术 ， 在 这 些 恶劣 和 特殊 的 环境 下 提供 通信 支持 ， 这 对 
抢险 和 救灾 工作 具有 非凡 的 意义 。 

(4) 偏远 野外 : 当 处 于 偏远 或 野外 地 区 时 ， 无 法 依赖 固定 或 预 设 的 网 络 设施 进行 通 
信 。Ad hoc 网 络 技 术 具 有 单独 组 网 能 力 和 自 组 织 特点 ， 是 这 些 场合 通信 的 最 佳 选择 。 其 
应 用 包括 野外 科 考 队 、 边 远 矿山 作业 、 边 远 地 区 执行 任务 分 队 的 通信 等 。 

(5) 临时 场合 : Ad hoc 网 络 的 快速 、 简单 组 网 能 力 使 得 它 可 以 用 于 临时 场合 的 通信 。 
比如 会 议 、 庆 典 、 展 览 等 场合 ， 可 以 免 去 布线 和 部 署 网 络 设备 的 工作 。 在 室外 临时 环境 
中 , 工作 团体 的 所 有 成 员 可 以 通过 Ad hoc 方式 组 成 一 个 临时 网 络 来 协同 完成 一 项 大 的 任 
务 , 或 协同 完成 某 个 计算 任务 。 在 室内 办 公 环 境 中 ,办公 人 员 携 带 的 包含 Ad hoc 收发 器 
的 PDA， 可 以 通过 无 线 方式 自动 从 台式 机 上 下 载 电子 邮件 ， 更 新 工作 日 程 表 等 。 

(6) 动态 场合 : 对 于 像 执 行 运输 任务 的 汽车 队 这 样 的 动态 场合 ，Ad hoc 网 络 技术 也 
可 以 提供 很 好 的 通信 支持 。 美 国 加 州 大 学 伯克利 分 校 和 哈佛 大 学 正在 研究 如 何 将 Ad hoc 
网 络 技术 应 用 于 高 速 公路 自动 驾驶 汽车 间 的 通信 ， 并 取得 了 初步 的 研究 成 果 。 

(7) 个 人 通信 : 个 人 局 域 网 是 Ad hoc 网 络 技术 的 又 一 大 应 用 领域 。 用 户 实现 PDA、 
手机 、 掌 上 电脑 等 个 人 电子 通信 设备 之 间 的 通信 ， 并 可 以 构建 虚拟 教室 和 讨论 组 等 细 新 
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的 移动 对 等 应 用 。 考 虑 到 辐射 问题 ， 个 人 局 域 网 通信 设备 的 无 线 发 射 功率 应 尽 可 能 小 ， 
这 样 Ad hoc 网 络 的 多 跳 通信 能 力 将 再 次 展现 它 的 过 人 之 处 。 蓝 牙 的 超 网 (scatternet) 技 
术 就 是 一 个 典型 的 例子 。 

(8) 商业 应 用 : 使 用 Ad hoc 网 络 技术 可 以 组 建 家 庭 无 线 网 络 、 移 动 医疗 监护 系统 ， 
开展 移动 和 可 携带 计算 等 。 比如 未 来 装备 Ad hoc 收发 设备 的 机 场 预约 和 登 机 系统 可 以 自 
动 地 与 乘客 携带 的 个 人 无 线 Ad hoc 设备 通信 , 完成 目前 的 换 登 机 牌 等 手续 ， 节 省 排队 等 
候 时 间 。 

(9) 其 他 场合 : 由 于 Ad hoc 网 络 的 特殊 特点 ， 它 的 应 用 领域 还 很 多 ， 这 需要 进一步 
去 发 掘 。 不 如 它 可 以 用 于 扩展 现 有 蜂窝 移动 通信 系统 的 覆盖 范围 ， 实 现 地 铁 和 隧道 等 场 
合 的 无 线 履 盖 ;， 构建 未 来 的 无 线 城 域 网 和 自 组 织 广域网 等 。 


1.6.5 接 入 网 


接 入 网 (Access Network，AN) 除了 包含 用 户 线 传输 系统 、 复 用 设备 外 ， 还 包括 数 
字 交 叉 连 接 设备 和 用 户 /网 络 接口 设备 。 接 入 网 为 本 地 交换 机 (LE) 与 用 户 端 设备 CTE) 
之 间 的 实施 系统 ， 其 目的 是 综合 考虑 本 地 交换 局 、 用 户 环 路 和 终端 设备 ， 通 过 有 限 的 标 
准 化 接口 将 各 种 用 户 所 需求 的 业务 接 入 节点 。 

接 入 网 的 引入 给 通信 网 带 来 新 的 变革 ， 使 整个 通信 网 络 结构 发 生 了 根本 的 变化 。 然 
而 ， 接 入 网 一 直 是 通信 网 中 耗资 最 大 、 技 术 变化 最 慢 、 成 本 最 敏感 和 运行 环境 最 恶劣 的 
领域 。 

当 核 心 网 和 用 户 驻 地 网 频繁 地 更 换 和 应 用 各 种 现代 新 技术 时 ， 接 入 网 领域 基本 维持 
着 原始 的 模拟 技术 和 窜 带 接 入 技术 为 主 的 局 面 。 显 然 ， 接 入 网 技术 已 成 为 制约 通信 发 展 
的 瓶颈 。 为 了 给 用 户 提供 端 到 端的 宽带 连接 ， 保 证 宽带 业务 的 开展 ， 网 络 的 宽带 化 、 数 
字 化 是 接 入 网 的 前 提 和 基础 ， 同 时 也 是 网 络 技术 中 的 一 大 热点 。 接 入 网 的 技术 实现 手段 
有 多 种 ， 当 前 各 种 宽带 接 入 技术 都 在 发 展 和 应 用 中 。 


1.6.5.1 ”拨号 接 入 


PSTN 用 户 通过 公共 交换 电话 网 (PSTN) 拨号 进入 Intemet， 即 PSTN 用 户 通 过 拨号 
在 用 户 PC 与 Internet 服务 提供 者 〈ISP) 之 间 建 立 一 条 物理 电路 。 由 于 PSTN 用 户 线 为 
模拟 用 户 线 ， 所 以 在 用 户 端 需 加 装 频带 调制 解 调 器 (modem) 进行 数据 信号 与 音频 话 带 
信号 之 间 的 转换 。 

在 电话 网 与 ISP 运营 商 网 络 (ISP/LAN) 之 间 装 有 接 入 服务 器 (AS)。AS 对 电话 网 
提供 Modem Pool、E1 话 路 中 继 及 中 国 一 号 、NO.7 信 令 接口 。AS 对 ISP/LAN 提供 以 太 
网 接口 。 在 ISP/LAN 中 装 有 WWW、DNS、AAA、E-mail、 计 费 等 服务 器 并 通过 路 由 器 
或 路 由 交换 机 进入 Internet。 

Modem 是 一 个 数字 信号 与 模拟 信号 之 间 的 转换 设备 。 只 需 利用 现 有 的 电话 线路 和 一 
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个 Modem， 用 户 即 可 连 入 到 Internet。 这 种 接 入 方式 简单 易 行 、 价 格 低廉 ， 早 期 一 度 成 
为 单机 用 户 接 入 Intemet 的 主要 方式 。 但 因为 要 进行 数字 信号 与 模拟 信号 之 间 的 转换 ， 
所 以 该 方式 网 络 连接 速度 低 ， 而 且 性 能 较 差 。 随 着 时 代 的 发 展 ， 文 本 、 图 形 、 图 像 、 音 
频 、 视 频 、 动 画 等 大 数据 量 信息 的 传输 在 不 断 地 增多 ， 这 样 ， 价 格 低廉 但 传输 速度 较 慢 
的 Modem 接 入 技术 显然 是 无 法 胜任 的 。 因 而 ，Modem 拨号 接 入 技术 面临 着 逐渐 被 淘汰 
的 局 面 。 


1.6.5.2 ISDN 接 入 


窄带 ISDN (CN-ISDN) 用 户 利用 2B+D 数字 用 户 线 拨号 上 网 。 其 中 的 B 通道 为 业务 
通道 ， 其 速率 为 64kbps; D 通道 为 信 令 通道 ， 其 速率 为 16Kbps。 通 常 可 利用 其 中 一 个 B 
通道 通话 ， 另 一 个 B 通道 上 网 ， 故 N-ISDN 俗称 “一 线 通 ”。 在 局 端 “ 一 线 通 ”用 户 数 
据 流 经 由 ISP/LAN 和 路 由 器 进入 Intemet。N-ISDN 的 D 通道 永远 在 线 用 于 传送 用 户 信 令 
和 低速 分 组 数据 。 

N-ISDN 将 电话 语音 和 计算 机 多 媒体 数据 集成 到 一 条 高 速 的 数字 传输 网 络 线路 中 ， 
仅 通过 一 路 “线路 ”就 可 以 为 客户 同时 提供 语音 服务 和 数据 服务 。“ 一 线 通 ” 虽 基于 现 有 
的 公众 电话 网 ， 通 信 线 路 就 是 普通 的 电话 线 ， 使 用 方法 与 使 用 普通 电话 没有 区 别 。 但 与 
普通 的 模拟 电话 不 同 的 是 ,“ 一 线 通 ”在 线路 上 传输 的 是 数字 信号 , 而 非 被 处 理 之 后 的 模 
拟 信号 ， 使 用 户 完 全 步 入 “数字 化 通信 ”时 代 。 它 具有 以 下 特点 。 

(1) 一 线 多 能 : 利用 一 对 用 户 线 可 实现 电话 、 传 真 、 可 视图 文 、 数 据 通信 等 多 种 业 
务 的 通信 。 

(2) 连接 速度 快 ， 使 用 灵活 。 

(3) 成 本 低 、 连 接 质量 好 。 由 于 使 用 了 数字 传输 技术 ， 信 号 的 误 码 率 要 比 模拟 线路 
低 得 多 ， 而 且 断 线 现象 明显 减少 。 

随 着 Intemet 和 企业 计算 机 联网 的 日 益 普及 ,“ 一 线 通 ”在 数据 通信 和 领域 的 优势 还 是 
受到 了 人 们 关注 ,“ 一 线 通 ”具有 一 定数 量 的 用 户 ， 但 逐步 会 被 ADSL 接 入 所 取代 。 


1.6.5.3 xDSL 接 入 


数字 用 户 线路 (Digital Subscriber Lines，DSL) 由 于 采用 了 先进 的 数据 调制 技术 ， 
通过 普通 的 电话 线 就 可 以 达到 非常 高 的 吞吐 量 。xDSL 是 对 所 有 不 同 DSL 的 总 称 。DSL 
的 类 型 可 以 分 为 两 大 类 ， 即 非 对 称 DSL 和 对 称 DSL。 目 前 共有 7 种 DSL。 比 较 有 名 的 
DSL 类 型 包括 非 对 称 DSL (ADSL)、 高 比特 率 DSL (HDSL)、 单 线 DSL (SDSL) 以 及 
超 高 比特 率 DSL (VDSL)。 其 中 ADSL 和 VDSL 使 用 最 广 。 

1. ADSL 接 入 

非 对 称 数 字 用 户 环 路 (ADSL) 是 一 种 上 、 下 行 传输 速率 不 等 的 高 速 数字 用 户 环 路 ， 
且 在 同一 对 用 户 线 上 还 可 同时 传送 传统 的 模拟 话音 信号 。 在 用 户 端 PC 或 机 顶 盒 通 过 
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ATU-R〔( 远 端 ASDL Modem) 和 模拟 话音 分 离 器 接 入 用 户 铜 线 。 在 局 端 用 户 线 通过 分 离 
器 接 入 ATU-C( 局 端 ADSL Modem), 并 经 由 数字 用 户 线路 接 入 复 用 器 (Digital Subscriber 
Line Access Multiplexed，DSLAM) 进行 复 接 。 复 接 后 的 高 速 数 据 流 经 由 ISP/LAN 和 路 
由 器 进 Pnternet。 

在 ADSL 系统 中 ，ADSL 收发 信 机 从 一 对 用 户 线 中 辟 出 三 个 通道 : 普通 电话 业务 
(POTS) 信道 、 中 速 双 工 数据 信道 、 高 速 下 行 数据 信道 。 普 通电 话 业 务 占据 4kHz 以 下 
的 基带 ， 并 通过 无 源 低 通 滤波 器 与 数字 信号 分 离 以 保证 在 ADSL 系统 出 现 故 障 情况 仍 能 
保证 通话 业务 。 上 行 信道 数据 速率 为 16Kbps 一 1Mbps; 下 行 信道 包括 一 个 中 速 双向 信道 
的 下 行 部 分 (速率 同上 行 信道 ) 和 一 个 高 速 〈1.SMbps 一 9Mbps) 单 工 下 行 通 道 。 这 三 个 
通道 可 以 同时 工作 。 在 实际 应 用 中 频段 划分 视 设备 而 异 。 各 信道 数据 速率 与 占用 线路 频 
宽 及 调制 效率 ( 码 速率 /调制 符号 速率 ) 有 关 。 

ADSL 系统 是 针对 住宅 用 户 设计 的 ， 目 前 ADSL 大 多 用 于 高 速 接 入 Intemet 业务 。 
并 能 享用 ISP 运营 商 所 提供 的 诸如 点 播 电 视 、 远 程 教学 、 远 程 医疗 、 居 家 购物 、 可 视 电 
话 、 多 方 可 视 游戏 等 多 媒体 业务 。 

2. VDSL 接 入 

由 于 ADSL 技术 在 提供 图 像 传输 时 下 行 宽带 十 分 有 限 ， 而 且 成 本 偏 高 。 在 提高 系统 
下 行 带宽 过 程 中 系统 逐步 演变 为 甚 高 比特 数字 用 户 环 路 (VDSL)。 

VDSL 系 统 用 于 接 入 网 中 的 最 后 一 段 入 户 连接 。 其 传输 距离 只 有 300m(52Mbps 时 ) 一 
lkm (13Mbps 时 )。 其 传输 速率 为 : 下 行 达 13Mbps 一 52Mbps; 上 行为 1.SMbps 一 2Mbps。 

由 于 VDSL 系统 传输 距离 缩短 ， 码 间 干 扰 大 大 减 小 ， 对 数字 信号 处 理 要 求 亦 大 为 简 
化 ， 收 发 信 机 成 本 有 望 比 ADSL 降低 一 半 。 

VDSL 系统 因 传输 距离 短 ， 故 一 般 作 为 光纤 到 路 边 (FTTC) 和 光纤 到 大 楼 (FTTB) 
的 宽带 延伸 。 从 目前 看 来 VDSL 和 ATM 无 源 接 入 网 (APON) 混合 使 用 是 一 种 比较 理想 
的 宽带 接 入 方案 。 


1.6.5.4 ”Cable Modem 接 入 


电缆 调制 解 调 器 (cable modem) 是 适用 于 电缆 传输 体系 的 调制 解 调 器 。 它 基于 有 线 
电视 网 络 ， 利 用 了 有 线 电视 电缆 可 以 同时 传输 多 个 频道 的 工作 机 制 ， 使 用 电缆 带宽 的 一 
部 分 来 传送 数据 。Cable Modem 是 将 数据 进行 调制 后 在 电缆 的 一 个 频率 范围 内 传输 ， 接 
收 时 进行 解 调 ， 传 输 机 理 与 普通 Modem 相同 。 不 同 之 处 在 于 它 是 通过 有 线 电视 网 络 的 
某 个 传输 频带 进行 调制 解 调 的 。 而 普通 Modem 的 传输 介质 在 用 户 与 交换 机 之 间 是 独立 
的 ， 即 用 户 独 享 通信 介质 。Cable Modem 属于 共享 介质 系统 ， 其 他 空闲 频段 仍然 可 用 于 
有 线 电视 信号 的 传输 。 

Cable Modem 类 似 于 电话 线 上 使 用 的 音频 Modem, 其 主要 作用 是 完成 数字 信号 的 远 
距离 传送 。Cable Modem 下 行 载波 带宽 6MHz， 数 据 速率 在 采用 64QAM 调制 方式 时 为 
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31.2Mbps; 采用 256QAM 调制 方式 时 为 41.6Mbps。 上 行 采用 QPSK 或 16QAM 调制 方 
式 在 200KHz~3.2MHz 带宽 范围 内 ， 数 据 速率 可 达 320Kbps~10Mbps， 多 个 用 户 Cable 
Modem 上 行 信号 可 在 同一 载波 上 分 时 阶 发 送 。 

我 国 现在 开通 的 Cable Modem 接 入 业务 基本 上 是 基于 双向 的 混合 型 光纤 同 轴 电 费 
(HFC) 的 。Cable Modem 的 技术 具有 以 下 特点 : 

(1) 连接 速度 快 。 在 目前 应 用 的 所 有 接 入 方式 中 ，Cable Modem 是 最 快 的 一 种 。 

(2) 成 本 低廉 。Cable Modem 利用 已 有 的 有 线 电视 网 络 。 

(3) 提供 了 非 对 称 的 专线 连接 。Cable Modem 是 一 直 在 线 的 ， 用 户 无 须 拨号 ， 也 不 
用 担心 遇 着 忙 音 ， 只 要 一 打开 计算 机 就 会 自动 建立 与 Internet 的 高 速 连接 。 

(4) 不 受 连 接 距离 的 限制 。 用 户 所 在 地 和 有 线 电 视 中 心 局 之 间 的 同 轴 电缆 能 够 按照 
用 户 的 需要 延伸 ， 不 受 连接 距离 的 限制 。 

Cable Modem 技术 同样 也 存在 着 一 些 不 足 : Cable Modem 用 户 共享 单一 电缆 的 方式 
与 局 域 网 中 多 台 计 算 机 共享 信道 相似 ， 由 于 许多 用 户 通过 一 个 节点 接 入 Intemet， 如 果 所 
在 区 域 的 上 网 用 户 较 多 时 ， 传 输 速率 将 明显 下 降 。 另 外 ， 有 线 电 视 是 一 种 广播 服务 ， 所 
以 同一 信号 将 发 送 给 所 有 的 用 户 ， 用 户 端 的 Cable Modem 会 对 信号 进行 识别 。 如 果 是 发 
给 自己 的 便 将 其 分 享 出 来 ， 并 接收 。 这 种 工作 方式 会 产生 一 些 安全 问题 : 其 他 用 户 可 能 
会 共享 电缆 访问 正在 传输 的 数据 。 


1.6.5.5 局域网 接 入 


当前 90% 的 局 域 网 采用 以 太 网 (Ethemet) 技术 组 网 。 以 太 网 的 传输 速率 高 、 组 网 设 
备 价格 低廉 ， 其 传输 链 路 可 采用 光纤 、 同 轴 电 绕 、 铜 缆 双 绞 线 等 物理 媒体 。 随 着 以 太 网 
技术 的 迅速 发 展 ， 该 技术 进入 IP 城 域 网 和 接 入 网 领域 。 

目前 新 建 住宅 小 区 和 商务 楼 流行 局 域 网 (LAN) 方式 接 入 。 小 区 接 入 节点 (ZAN) 
提供 住宅 小 区 接 入 ， 采 用 千 光 以 太 网 交换 机 ; 楼 宇 接 入 点 BAN) 提供 居民 楼 宇 接 入 ， 
采用 百 兆 以 太 网 交换 机 , 实现 住宅 小 区 的 千 兆 光纤 到 小 区 、 百 兆 光纤 或 5 类 线 到 住宅 楼 、 
十 光 5 类 线 到 用 户 的 宽带 用 户 接 入 方案 ; 或 商务 楼 的 千 兆 到 大 楼 、 百 兆 到 楼 层 、 十 兆 到 
用 户 的 用 户 接 入 方案 。 小 区 或 大 楼 的 千 光 光纤 经 由 人 P 城 域 网 汇聚 层 的 路 由 交换 机 进入 城 
域 核心 网 。 

城 域 网 的 汇聚 层 将 电话 、 数 据 以 及 各 种 宽带 多 媒体 接 入 业务 ,汇聚 为 “ATM) 数 
据 流 进入 城 域 骨干 网 。 汇 聚 层 可 提供 诸如 点 播 电 视 、 有 线 电视 、 信 息 广 播 等 一 些 业务 。 
该 层 还 有 一 个 重要 作用 是 对 用 户 进行 鉴 权 、 认 证 、 计 费 和 管理 。 用 于 汇聚 层 的 典型 设备 
包括 各 类 路 由 器 、 路 由 交换 机 、 各 类 网 关 、 宽 带 综合 接 入 服务 器 、 WWW、DNS 域名 )、 
AAA〔 鉴 权 、 认 证 、 计 费 ) 等 服务 器 以 及 各 类 信息 源 。 
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1.6.5.6 无线 接 入 


1. 无 线 接 入 技术 

无 线 接 入 技术 是 无 线 通信 的 关键 问题 ， 是 指 通 过 无 线 介 质 将 用 户 终端 与 网 络 节点 连 
接 起 来 ， 以 实现 用 户 与 网 络 间 的 信息 传递 。 无 线 信道 传输 的 信号 应 遵循 一 定 的 协议 ， 这 
些 协议 即 构成 无 线 接 入 技术 的 主要 内 容 。 无 线 接 入 技术 与 有 线 接 入 技术 的 一 个 重要 区 别 
在 于 可 以 向 用 户 提 供 移动 接 入 业务 。 

无 线 接 入 大 致 可 分 为 三 种 : 

1) 低速 无 线 本 地 环 

无 线 本 地 技术 源 于 20 世纪 40 年 代 中 期 出 现 的 蜂窝 电话 和 随后 产生 的 无 绳 电话 等 移 
动 通信 技术 。 最 常用 的 为 蜂窝 通信 技术 ， 即 利用 模拟 蜂窝 移动 通信 技术 ， 如 总 访问 通信 
系统 、 高 级 移动 电话 服务 系统 等 。 这 类 技术 的 速率 较 低 ， 像 全 球 通 仅 能 够 提供 13Kbps 
语音 服务 和 9.6Kbps 的 数据 服务 。 

2) 宽带 无 线 接 入 

随 着 无 线 接 入 市 场 的 不 断 扩 大 ， 许 多 无 线 设 备 制造 商 开 始 提供 基于 无 线 电波 的 宽带 
接 入 系统 ， 如 多 路 多 点 分 配 业 务 和 本 地 多 点 分 配 业 务 。 这 些 系统 采用 数字 技术 ， 并 支持 
多 用 户 和 多 种 服务 ， 数 据 通信 速率 一 般 在 128Kbps 一 155SKbps。 

3) 卫星 接 入 

卫星 接 入 就 是 利用 卫星 通信 系统 提供 的 接 入 服务 。 它 由 人 造 卫 星 和 地 面 站 组 成 ， 用 
卫星 作为 中 转 站 转发 传 入 的 无 线 电信 号 。 其 中 ， 能 够 为 用 户 提供 电话 、 电 视 和 数据 接 入 
服务 的 卫星 接 入 业务 ， 在 我 国 已 有 了 较 广 泛 的 应 用 。 

2. 宽带 无 线 接 入 

宽带 无 线 接 入 技术 虽然 没有 像 ADSL 等 有 线 宽带 技术 那样 成 为 主流 的 接 入 手段 , 但 
是 由 于 它 自身 的 优点 ， 在 整个 宽带 市 场 中 也 占据 了 一 席 之 地 ， 网 络 规模 逐年 扩张 。 

与 传统 仅 提供 窄带 话音 业务 的 无 线 接 入 技术 不 同 ， 宽 带 无 线 接 入 技术 (BWA) 面向 
的 主要 应 用 是 卫 数据 接 入 和 话音 接 入 。 BWA 的 出 现 源 于 Interet 的 发 展 和 用 户 对 宽带 数 
据 需 求 的 不 断 增长 。 各 个 国家 从 1999 年 开始 纷纷 为 BWA 分 配 频率 ， 其 中 主要 包括 
2.5GHz、3.5GHz、5GHz、24GHz、26GHz 等 频段 。 北 美国 家 主要 分 配 了 2.5GHz， 欧 洲 
的 国家 则 主要 分 配 了 3.5GHz 频率 资源 。20GHz 以 上 的 宽带 无 线 接 入 技术 统称 为 本 地 多 
点 分 配 技术 (LMDS)。 我 国 为 BWA 分 配 的 频率 资源 包括 3.5GHz, 5.8GHz, 26GHzLMDS， 
其 中 5.8GHz 为 扩 频 通信 系统 、 宽 带 无 线 接 入 系统 、 高 速 无 线 局 域 网 、 蓝 牙 系统 等 共享 
的 频段 ， 其 余 两 个 频带 则 是 宽带 无 线 接 入 专 有 频带 。 

当前 宽带 无 线 接 入 有 以 下 几 大 技术 : LMDS (Local Multipoint Distribute System， 本 
地 多 点 分 配 系 统 )、MMDS (Multipoint Multichannel Distribution System， 多 点 多 信道 分 
配 系统 )、 无 线 局 域 网 、 蓝 牙 及 其 他 (如 红外 等 )。 
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1) LMDS (高 频 宽带 、24/26GHz~38GHz) 

LMDS 频谱 资源 比较 多 ， 可 以 传输 较 高 的 速率 ， 但 是 由 于 工作 于 毫米 波 ， 受 气候 影 
响 大 ， 抗 雨 衰 性 能 差 ， 降 低 了 在 经 济 发 达 的 东南 沿海 地 区 的 可 用 度 。 目 前 通常 所 说 的 
LMDS 为 第 二 代数 字 系 统 ， 主 要 使 用 无 线 ATM 传送 协议 ， 具 有 标准 化 的 网 络 侧 接口 和 
网 管 协 议 。LMDS 具有 更 高 带宽 和 双向 数据 传输 的 特点 ， 可 以 提供 多 种 宽带 交互 式 数据 
业务 及 话音 和 图 像 业务 ， 因 此 人 们 逐渐 将 眼光 投入 带宽 达到 1GHz， 几 乎 可 以 提供 任何 
种 类 的 业务 。 我 国 已 完成 频率 规划 ， 频 段 为 24.307GHz 一 25.531SGHz 和 25.757GHz 一 
26.765GHz。 

2) MMDS 〈 中 频 中 宽带 、2GHz 一 5GHz) 

该 频段 传输 性 能 好 ， 覆 盖 范 围 广 ， 技 术 成 熟 ， 具 有 和 良好 的 抗 雨 衰 性 能 ， 扩 容 性 强 ， 
组 网 灵活 且 成 本 具有 竞争 力 ， 是 较为 理想 的 无 线 接 入 手段 。 由 于 该 频段 资源 比较 紧张 ， 
能 分 给 MMDS 的 频段 窗 、 信 道 数 少 ， 需 用 新 技术 来 提高 频谱 利用 率 。 中 国 〈3.4GHz 一 
3.43GHz 和 3.SGHz 一 3.53GHz) 已 经 分 配 试 用 。 因 为 频段 相对 紧张 ， 所 以 格外 激发 了 高 
效 利用 频率 的 新 技术 的 大 量 涌现 。 

3) 无 线 局 域 网 WLAN 

无 线 局 域 网 的 主要 技术 有 IEEE 802.11b、IEEE 802.11a、 IEEE 802.11g、HiperLAN 
等 。 当 前 最 具 代 表 性 的 当 数 IEEE 802.11b。1999 年 9 月 通过 的 IEEE 802.11b 工作 在 
2.4GHz 一 2.483GHz 频段 。 与 有 线 局 域 网 的 不 同 主要 体现 在 便携 性 上 。WLAN 技术 发 展 
较为 迅速 ， 由 于 IEEE 802.11 标准 成 功 解决 了 空中 接口 兼容 性 问题 ， 促 进 了 无 线 局 域 网 
终端 和 接 入 点 (AP) 的 互通 ， 因 此 WLAN 设备 成 本 下 降 很 快 ， 应 用 也 非常 广泛 。 

虽然 WLAN 的 公众 热点 数 在 增多 ， 但 是 对 于 WLAN 技术 ， 由 于 每 个 AP 的 覆盖 范 
围 有 限 ， 因 此 整个 热点 内 AP 的 互联 也 需要 有 线 网 络 设施 的 支撑 ， 对 网 络 整体 投资 有 一 
定 的 要 求 。 

4) 蓝牙 

蓝牙 也 是 一 种 使 用 2.4GHz 一 2.483GHz 的 无 线 频带 (ISM 频带 ) 的 通用 无 线 接口 技 
术 ， 提 供 不 同 设备 间 的 双向 短程 通信 。 蓝 牙 的 目标 是 最 高 数据 传输 速率 1Mbps (有 效 传 
输 速 率 为 721Kbps)、 最 大 传输 距离 为 10cm 一 10m 〈 增 加 发 射 功 率 可 达 100m)。 蓝 牙 的 
优势 是 设备 成 本 低 、 体 积 小 。 而 且 ， 搭 配 “ 蓝 牙 ” 构 造 一 个 整体 网 络 的 成 本 要 比 铺设 线 
缆 低 。 相 对 802.11x 系列 和 HiperLAN 家 族 ， 蓝 牙 的 作用 不 是 为 了 竞争 而 是 相互 补充 。 

宽带 无 线 接 入 技术 经 过 近 几 年 的 发 展 ， 已 经 形成 了 一 定 的 产业 规模 。 随 着 新 的 技术 
涌现 ， 宽 带 无 线 接 入 的 传输 能 力 在 不 断 增强 ， 接 口 更 加 开放 ， 技 术 的 发 展 正经 历 从 固定 
到 移动 的 发 展 过 程 。 


1.6.5.7 ” 光 网 络 接 入 


1. 光纤 接 入 技术 
光纤 接 入 网 是 指 局 端 与 用 户 之 间 完 全 以 光纤 作为 传输 媒体 。 接 入 网 光纤 化 有 很 多 方 
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案 ， 有 光纤 到 路 边 《FTTC)、 光 纤 到 小 区 《FTTZ)、 光 纤 到 办 公 楼 (FTTB)、 光 纤 到 楼 
面 (FTTF)、 光 纤 到 家 庭 (FTTH)。 采 用 光纤 接 入 网 是 光纤 通信 发 展 的 必然 趋势 ， 尽 管 
目前 各 国 发 展 光纤 接 入 网 的 步伐 各 不 相同 ， 但 光纤 到 家 庭 是 公认 的 接 入 网 发 展 目标 。 现 
阶段 大 规模 实现 FTTH 还 不 经 济 , 主要 是 实现 FTTB/FTTC, 目前 可 采用 的 传送 技术 手段 
以 有 源 光 纤 接 入 (如 PDH、ATM、SDH、GE/FE 等 ) 为 主 , 但 当 无 源 光 纤 接 入 开始 得 到 
应 用 时 ， 其 将 成 为 FTTH 的 一 种 最 经 济 有 效 的 技术 手段 。 

毫 无 疑问 ， 光 纤 是 接 入 网 的 理想 传输 媒介 。 光 纤 接 入 网 具有 以 下 优点 : 

(1) 光纤 接 入 网 能 满足 用 户 对 各 种 业务 的 需求 。 人 们 对 通信 业务 的 要 求 越 来 越 高 ， 
如 果 要 提供 高 清晰 度 或 交互 式 视频 等 业务 ， 用 铜 线 双 绞 线 是 难以 实现 的 。 

(2) 光纤 可 以 克服 铜 线 电线 无 法 克服 的 一 些 限制 因素 ， 且 损耗 低 、 频 带宽 ， 解 除了 
铜 线 电缆 网 径 小 的 限制 ， 此 外 ， 光 纤 不 受 电 磁 干 扰 ， 保 证 了 信号 传输 质量 。 

(3) 光纤 接 入 网 的 性 能 不 断 提高 ， 价 格 不 断 下 降 。 

(4) 光纤 接 入 网 提供 数字 业务 ， 有 完善 的 监控 和 管理 系统 ， 能 适应 将 来 宽带 综合 业 
务 的 需要 ， 打 破 有 限 带宽 的 传输 瓶颈 ， 使 信息 高 速 公路 畅通 无 阻 。 

现在 ， 影 响 光 纤 接 入 网 发 展 的 主要 原因 不 是 技术 ， 而 是 成 本 。 直 至 目前 ， 光 纤 接 入 
网 的 成 本 仍然 较 高 。 

2. 光纤 接 入 网 的 分 类 

光纤 接 入 网 可 以 粗 分 为 有 源 和 无 源 两 类 。 有 源 接 入 依然 是 目前 光纤 接 入 的 主要 手段 ， 
典型 的 设备 主要 是 基于 SDH 的 多 业务 传送 平台 (Multi-Service Transport Platform， 
MSTP)、 基 于 以 太 网 或 ATM 的 多 业务 接 入 平台 等 。 然 而 ， 这 种 技术 作为 有 源 设 备 仍然 
无 法 完全 摆脱 电磁 干扰 和 雷电 影响 ， 以 及 有 源 设备 固有 的 维护 问题 。 尽 管 它 在 中 近期 会 
有 所 发 展 ， 但 不 是 接 入 网 的 长 远 解决 方案 。 无 源 光 网 络 (PON) 是 一 种 很 有 吸引 力 的 纯 
介质 网 络 ， 其 主要 特点 是 避免 了 有 源 设 备 的 电磁 干扰 和 雷电 影响 ， 减 少 了 线路 和 外 部 设 
备 的 故障 率 ， 提 高 了 系统 可 靠 性 ， 同 时 节省 了 维护 成 本 ，PON 由 于 简洁 、 廉 价 、 可 靠 的 
网 络 拓扑 结构 ， 被 普遍 认为 是 宽带 接 入 网 的 最 终 解 决 方案 。 

3. 无 源 光 网 络 

PON 技术 是 最 新 发 展 的 点 到 多 点 的 光纤 接 入 技术 .无 源 光 网 络 由 光线 路 终端 (OLT)、 
光 网 络 单元 (CONU) 和 光 分 配 网 络 (ODN) 组 成 。 一 般 其 下 行 采用 TDM 广播 方式 、 上 
行 采用 TDMA 〈 时 分 多 址 接 入 ) 方式 ， 而且 可 以 灵活 地 组 成 树 型 、 星 型 、 总 线 型 等 拓扑 
结构 (典型 结构 为 树 型 )。 PON 的 本 质 特征 就 是 ODN 全 部 由 无 源 光 器 件 组 成 ,不 包含 任 
何 有 源 电子 器 件 ， 这 样 避免 了 外 部 设备 的 电磁 干扰 和 雷电 影响 ， 减 少 了 线路 和 外 部 设备 
的 故障 率 ， 提 高 了 系统 可 靠 性 ， 同 时 节省 了 维护 成 本 。 与 有 源 光 接 入 技术 相 比 ，PON 由 
于 消除 了 局 端 与 用 户 端 之 间 的 有 源 设备 ， 从 而 使 得 维护 简单 、 可 靠 性 高 、 成 本 低 ， 而 且 
能 节约 光纤 资源 。 

目前 PON 技术 主要 有 APON (基于 ATM 的 PON)、EPON (基于 以 太 网 的 PON) 
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和 GPON (Gigabit PON) 等 几 种 ， 其 主要 差异 在 于 采用 了 不 同 的 二 层 技术 。 

1) APON 

APON 是 20 世纪 90 年 代 中 期 被 ITU 和 全 业务 接 入 网 论坛 (FSAN) 标准 化 的 PON 
技术 ， 在 2001 年 底 FSAN 又 将 APON 更 名 为 BPON，APON 的 最 高 速率 为 622Mbps， 
二 层 采用 的 是 ATM 封装 和 传送 技术 ， 因 此 存在 带宽 不 足 、 技 术 复杂 、 价 格 高 、 承 载 卫 
业务 效率 低 等 问题 ， 未 能 取得 市 场 上 的 成 功 。 

2) EPON 

为 更 好 适应 IP 业务 ， 第 一 英里 以 太 网 联盟 (EFMA) 在 2001 年 初 提出 了 在 二 层 用 
以 太 网 取代 ATM 的 EPON 技术 , IEEE 802.3ah 工作 小 组 对 其 进行 了 标准 化 , EPON 可 以 
支持 1.25Gbps 对 称 速率 ， 将 来 速率 还 能 升级 到 10Gbps。EPON 产品 得 到 了 更 大 程度 的 
商用 ， 由 于 其 将 以 太 网 技术 与 PON 技术 完美 结合 ， 因 此 非常 适合 IP 业务 的 宽带 接 入 技 
术 。 对 于 Gbps 速率 的 EPON 系统 也 常 被 称 为 GE-PON。 

3) GPON 

在 EFMA 提出 EPON 概念 的 同时 ，FSAN 又 提出 了 GPON，FSAN 与 ITU 已 对 其 进 
行 了 标准 化 ， 其 技术 特色 是 在 二 层 采用 ITU-T 定义 的 GFP (通用 成 帧 规程 ) 对 Ethemet、 
TDM、ATM 等 多 种 业务 进行 封装 映射 ， 能 提供 1.25Gbps、2.5Gbps 下 行 速率 和 所 有 标准 
的 上 行 速率 , 并 具有 强大 操作 、 管 理 、 维 护 和 配置 (Operation Administration Maintenance 
and Provisioning，OAM&P) 功能 。 在 高 速率 和 支持 多 业务 方面 ，GPON 有 明显 优势 ,但 
目前 成 本 要 高 于 EPON， 产品 的 成 熟 性 也 逊 于 EPON。 


1.6.6 广域网 组 网 


广域网 组 网 可 划分 为 三 级 网 络 : 第 一 级 为 骨干 网 ， 第 二 级 为 分 布 网 ， 第 三 级 为 接 入 
网 。 网 络 规模 不 大 时 可 直接 由 骨干 网 和 接 入 网 组 成 。 

在 组 网 时 ， 根 据 广域网 网 络 的 规模 和 业务 的 需要 对 三 级 网 络 的 功能 进行 规划 。 例 如 
某 省 级 银行 的 广域网 设计 为 : 第 一 级 骨干 网 ， 支 持 数据 、 话 音 、 图 像 等 多 元 化 信息 共享 ， 
为 全 行 系统 提供 高 速 、 可 靠 的 通信 服务 。 第 二 级 分 布 网 ， 用 于 数据 中 心 与 各 分 支行 的 数 
据 交 换 ， 能 提供 长 途 线路 复 用 和 主干 访问 。 第 三 级 接 入 网 用 于 各 分 支行 与 各 营业 网 点 的 
数据 交换 ， 采 用 访问 路 由 方式 ， 提 供 网 点 线路 复 用 和 终端 访问 。 


1.7 网 络 互 连 


1.7.1 网 络 互 连 概念 


网 络 互 连 〈intermetworking) 是 指 利 用 各 种 网 络 互 连 设 备 将 同一 类 型 的 网 络 或 不 同类 
型 网 络 及 其 产品 相互 连接 起 来 组 成 地 理 覆 盖 范 围 更 大 、 功 能 更 强 的 网 络 。 网 络 互 连 也 可 
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以 理解 为 将 一 个 网 络 分 解 为 若干 个 子 网 ， 它 是 计算 机 网 络 发 展 到 一 定 阶段 的 必然 产物 。 
网 络 互 连 的 目的 是 使 得 一 个 网 络 上 的 某 一 台 主 机 能 够 与 另 一 个 网 络 上 的 主机 进行 通 
信 。 为 了 完成 这 个 目标 ， 提 出 了 许多 方法 来 提供 网 络 互 连 服务 ， 但 是 这 些 服务 要 满足 以 
下 几 条 要 求 : 
。 提供 网 络 间 的 链 路 。 至 少 必须 提供 物理 和 链 路 层 的 连接 。 
。 提供 不 同 网 络 中 的 进程 间 的 数据 的 路 由 选择 和 传递 。 
。 提供 记 账 服务 ， 跟 踪 各 个 网 络 和 路 由 器 的 使 用 情况 ， 并 记录 这 些 状态 信息 。 
。 必须 能 够 适应 网 络 间 的 许多 差异 ， 而 不 需要 变更 所 连接 网 络 的 体系 结构 。 
网 络 互 连 为 使 用 者 提供 了 便利 ， 它 具有 以 下 优点 : 
。 扩大 资源 共享 的 范围 。 更 多 的 资源 可 以 被 更 多 的 用 户 共享 。 
。 提高 网 络 的 性 能 。 网络 性 能 会 随 着 网 上 节点 的 增加 、 网 络 覆 盖 范 围 的 扩大 而 降低 。 
。 降低 成 本 。 当 同一 地 区 的 多 台 主 机 希望 接 入 另 一 地 区 的 某 个 网 络 时 ， 采 用 主机 先 
行 联网 《局 域 网 或 者 广域网 )， 再 通过 网 络 互 连 技术 达到 目的 的 方法 可 以 大 大 降 
低 联网 成 本 。 
。 提高 安全 性 。 将 具有 相同 权限 的 用 户主 机 组 成 一 个 网 络 ， 在 网 络 互 连 设备 上 严格 
控制 其 他 用 户 对 该 网 的 访问 ， 从 而 实现 网 络 的 安全 机 制 。 
。 提高 可 靠 性 。 设 备 的 故障 可 能 导致 整个 网 络 的 瘫痪 ， 而 通过 子 网 的 划分 可 以 有 效 
地 限制 设备 故障 对 网 络 的 影响 范围 。 


1.7.2 ”网 络 互 连 方法 


网 络 互 连 的 方法 主要 包括 : 局 域 网 -局 域 网 互 连 (LAN-LAN)、 局 域 网 -广域网 互 连 
(LAN-WAN)、 广 域 网 -广域网 互 连 (WAN-WAN)。 
网 络 互 连 的 层次 及 所 对 应 的 设备 关系 如 图 1-64 所 示 。 


应 用 层 
表示 层 
数据 链 路 层 


物理 层 物理 层 


1-64 网络 互 连 层次 及 所 对 应 的 设备 关系 
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用 于 网 络 之 间 的 互 连 的 中 继 设 备 称 为 网 络 互 连 设备 ， 按 照 网 络 互 连 设备 是 对 哪 一 层 
〈 可 能 包括 下 层 ) 进行 协议 和 功能 的 转换 ， 可 以 把 它们 分 成 以 下 4 类 : 

。 中 继 器 完成 物理 层 间 的 互 连 ， 主 要 起 到 信号 再 生 放 大 ， 延 长 网 络 距离 ， 也 就 是 把 
比特 流 从 一 个 物理 段 传输 到 另 一 个 物理 网 段 。 

。 网 桥 完成 数据 链 路 层 间 的 连接 ， 可 以 将 两 个 或 多 个 网 段 连接 起 来 ， 网 桥 在 网 络 互 
连 中 起 着 数据 接收 、 地 址 过 滤 与 数据 转发 的 作用 ， 用 来 实现 多 个 网 络 系统 之 间 的 
数据 交换 。 主 要 连接 同类 局 域 网 络 。 

。 路 由 器 是 进行 网 络 层 间 的 互 连 ， 网 络 层 互 连 主要 解决 路 由 选择 、 拥 塞 控制 、 差 错 
处 理 与 分 段 技 术 等 问题 。 

。 网 关 是 工作 在 七 层 协议 参考 模型 中 第 三 层 以 上 的 网 间 连 接 设 备 ， 它 的 作用 是 连接 
多 个 高 层 协议 不 同 的 网 络 ， 使 它们 能 够 相互 通信 。 


1.7.2.1 LAN-LAN 


LAN-LAN 网 络 的 互 连 设备 是 中 继 器 、 集 线 器 和 网 桥 ， 也 可 以 用 路 由 器 。 

1. 中 继 器 及 其 工作 原理 

中 继 器 又 叫 转发 器 ， 是 LAN 环境 下 用 来 延长 网 络 距 离 的 互 连 设备 中 最 简单 、 最 廉 
价 的 设备 ， 其 应 用 如 图 1-65 所 示 。 这 种 设备 是 物理 层 设备 ， 即 两 个 网 络 在 物理 层 上 的 连 
接 ， 要 求 物 理 层 的 协议 是 相同 的 。 之 所 以 这 样 说 是 因为 它 只 是 简单 地 将 来 自 一 侧 的 信号 
转发 到 另 一 侧 ( 当 为 双 口 中 继 器 时 ) 或 将 来 自 一 侧 的 信号 转发 到 多 个 口 ， 并 不 关心 0 和 1 
的 含义 。 因 为 它 只 具有 信号 放大 再 生 之 类 的 功能 ， 因此 只 能 连接 使 用 相同 媒体 访问 方法 
和 相同 数据 传输 速率 的 LAN。 中 继 器 在 执行 信号 放大 功能 时 不 需要 任何 智能 或 算法 。 


| so3 | 网 段 ! | | _ 多段 2 | so23 | 


入 呈 入 


工作 站 工作 站 工作 站 工作 站 
图 1-65 用 中 继 器 连接 两 个 网 段 


由 于 信号 在 传输 中 存在 损耗 ， 在 线路 上 传输 的 信号 功率 会 逐渐 衰减 ， 衰 减 到 一 定 程 
度 时 将 造成 信号 失真 ， 因 此 会 导致 接收 错误 。 中 继 器 就 是 为 解决 这 一 问题 而 设计 的 。 它 
完成 物理 线路 的 连接 ， 在 转发 时 对 衰减 的 信号 进行 放大 ， 使 信号 可 以 传输 更 远 的 距离 ， 
且 保 持 与 原 数据 相同 。 

一 般 情 况 下 ， 中 继 器 的 两 端 连接 的 是 相同 的 媒体 ， 但 有 的 中 继 器 也 可 以 完成 不 同 媒 
体 的 转 接 工 作 。 从 理论 上 讲 中 继 器 的 使 用 是 无 限 的， 网 络 也 因此 可 以 无 限 延长 。 事 实 上 
这 是 不 可 能 的 ， 因 为 网 络 标准 中 都 对 信号 的 延迟 范围 作 了 具体 的 规定 ， 中 继 器 只 能 在 此 
规定 范围 内 进行 有 效 的 工作 ， 和 否则 会 引起 网 络 故障 。 


第 1 章 计算 机 网 络 原理 127 


应 当 注 意 ， 使 用 中 继 器 连接 LAN 的 电缆 段 是 有 限制 的 ， 需 遵循 一 定 的 网 络 标准 。 
标准 以 太 网 络 中 就 约定 了 一 个 以 太 网 上 只 允许 出 现 5 个 网 段 ， 最 多 使 用 4 个 中 继 器 ， 而 
且 其 中 只 有 3 个 网 段 可 以 挂 接 计算 机 终端 ， 简 称 5-4-3 规则 。 即 最 多 只 能 使 用 3 个 同 轴 
电线 段 ， 其 余 必须 为 链 路 段 。 当 5 个 段 都 存在 时 ， 粗 线 每 个 链 路 段 不 得 超过 500m。 当 
通路 由 3 个 中 继 器 、5 个 段 组 成 时 ， 链 路 段 最 大 长 度 为 2500m。 

使 用 中 继 器 扩充 网 络 距离 是 最 简单 、 最 廉价 的 方法 ， 但 是 使 用 中 继 器 所 扩展 的 网 络 
所 有 的 连 网 设备 都 具有 相同 的 工作 带宽 ， 处 于 一 个 相同 的 网 段 上 ， 常 把 这 种 网 络 称 为 介 
质 共享 网 络 或 共享 式 局 域 网 。 

介质 共享 网 络 上 的 所 有 设备 都 处 于 一 个 冲突 域 或 碰撞 域 (Collision Domain〉 中 ， 它 
的 致命 问题 是 随 着 接 入 网 络 中 设备 的 增加 其 性 能 会 逐渐 下 降 ， 并 当 接 入 设备 的 数量 达到 
一 定 程 度 后 ， 有 些 网 络 会 迅速 崩溃 。 所 以 只 有 当 网 络 负载 很 轻 和 网 络 时 延 要求 不 高 的 条 
件 下 才能 使 用 这 种 网 络 。 

2. 集线器 及 其 互 连 原理 

1) 集线器 有 关 概 念 

用 网 络 术 语 来 说 ， 集 线 器 (Hub 或 Concentrator) 是 基于 星 型 拓扑 的 接线 点 。 集 线 器 
的 基本 功能 是 信息 分 发 ， 它 把 一 个 端口 接收 的 所 有 信号 向 所 有 端口 分 发 出 去 。 一 些 集 线 
器 在 分 发 之 前 将 弱 信号 重新 生成 ， 一 些 集线器 整理 信号 的 时 序 以 提供 所 有 端口 间 的 同步 
数据 通信 。 

2) 集线器 的 构成 

集线器 是 中 继 器 的 一 种 形式 ， 也 称 其 为 盒 装 总 线 ， 如 图 1-66 所 示 ， 所 以 集线器 连接 
的 计算 机 是 共享 同一 网 络 带 宽 的 。 正 是 因为 这 个 特点 , 集线器 不 适合 用 来 构建 大 型 网 络 。 
它 与 中 继 器 的 区 别 在 于 能 够 提供 多 端口 服务 ， 也 称 为 多 口中 继 器 。 集 线 器 也 工作 在 
OSIRM 中 的 物理 层 。 


: 天 | 
AN 


网 卡 网 卡 网 卡 
工作 站 工作 站 工作 站 


1-66 ”集线器 的 组 成 
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集线器 按 端口 的 传输 速率 来 分 ， 有 10Mbps 和 100Mbps 两 种 。 通 常 所 说 的 集线器 是 
共享 式 集线器 ， 其 带宽 是 所 有 端口 共享 的 。 例 如 一 台 16 端口 的 100Mbps 的 集线器 ， 当 
全 部 端口 都 使 用 时 ， 每 一 端口 的 带宽 只 有 1/16。 由 集线器 作 中 心 设 备 的 局 域 网 称 为 共享 
式 局 域 网 。 

集线器 的 全 部 端口 属于 一 个 冲突 域 ， 它 在 端口 之 间 转 发 数据 帧 时 采用 向 所 有 端口 广 
播 的 方式 进行 ， 因 此 其 全 部 端口 又 属于 同一 个 广播 域 (broadcast domain)。 单 一 的 冲突 
域 和 广播 域 使 网 络 在 通信 繁忙 时 容易 产生 阻塞 和 广播 风暴 。 

3) 使 用 集线器 扩展 局 域 网 

使 用 集线器 扩展 LAN 〈 如 图 1-67 所 示 )， 使 原来 属于 不 同 碰撞 域 的 局 域 网 上 的 计算 
机 能 够 进行 跨 碰 撞 域 的 通信 ， 扩 大 了 局 域 网 覆盖 的 地 理 范围 。 但 同时 碰撞 域 也 增 大 了 ， 
总 的 吞吐 量 并 未 提高 。 当 不 同 碰撞 域 使 用 不 同 数据 率 时 , 不 能 用 集线器 将 它们 互 连 起 来 。 


-个 碰撞 域 


主 革 集线器 


集线器 集线器 


图 1-67 使 用 集线器 扩展 局 域 网 


可 以 使 用 多 台 和 集线器 级 联 或 堆 倒 来 增加 总 的 端口 数 ， 但 不 能 用 此 方法 来 延伸 网 络 距 
离 。 目 前 随 着 交换 机 价格 的 下 降 ， 共 享 式 Hub 正 逐 渐 退 出 局 域 网 领域 。 

3. 网 桥 及 其 互 连 原理 

1) 网 桥 有 关 概 念 

网 桥 〈bridge) 也 叫 桥接 器 ， 是 连接 两 个 局 域 网 的 一 种 存储 /转发 设备 ， 它 能 将 一 个 较 
大 的 LAN 分 割 为 多 个 网 段 ， 或 将 两 个 以 上 的 LAN 互 连 为 一 个 逻辑 LAN, 使 LAN 上 的 
所 有 用 户 都 可 访问 服务 器 。 它 工作 在 数据 链 路 层 ， 它 根据 MAC 帧 的 目的 地 址 对 收 到 的 
帧 进行 转发 。 

网 桥 具 有 以 下 几 个 基本 特征 : 

。 能 够 连接 两 个 采用 不 同 数据 链 路 层 协议 、 不 同 传输 介质 与 不 同 传输 速率 的 网 络 。 

。 以 接收 、 存 储 、 地 址 过 滤 与 转发 的 方式 ， 实 现 互 连 的 网 络 之 间 的 通信 。 
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。 要 求 互 连 的 网 络 在 数据 链 路 层 以 上 采用 相同 的 协议 。 
2) 网 桥 的 构成 ， 如 图 1-68 所 示 。 


-一 站 地 址 端口 
一 四 1 
回 1 
©@ 1 
图 2 
© 2 
© 2 


端口 1 | 端口 2 


图 1-68 网 桥 的 组 成 


3) 网 桥 的 工作 原理 

如 图 1-69 所 示 , 如 果 局 域 网 1 中 地 址 为 201 的 节点 想 与 同一 局 域 网 中 地 址 为 202 的 
节点 通信 ， 网 桥 就 可 以 接收 到 发 送 帧 ， 但 网 桥 在 进行 地 址 过 滤 后 认为 不 需要 转发 ， 因 而 
会 将 该 帧 丢弃 ; 如 果 节 点 201 要 与 局 域 网 2 中 节点 104 通信 ， 节 点 201 发 送 的 帧 就 可 以 
被 网 桥接 收 到 ， 网 桥 进行 地 址 过 滤 后 识别 出 该 帧 应 发 送 到 局 域 网 2， 网 桥 将 通过 与 局 域 
网 2 的 网 络 接口 转发 该 帧 ， 这 时 局 域 网 2 中 的 104 节点 将 能 接收 到 这 个 帧 。 


201 202 
Gi 


局 域 网 1 


局 域 网 2 
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4) 网 桥 的 功能 

(1) 源 地 址 跟踪 。 

网 桥 具 有 一 定 的 路 径 选 择 功能 ， 它 在 任何 时 候 收 到 一 个 帧 以 后 ， 都 要 确定 其 正确 的 
传输 路 径 ， 将 帧 送 到 相应 的 目的 站 点 。 网 桥 将 帧 中 的 源 地 址 记录 到 它 的 转发 数据 库 〈 或 
者 地 址 查找 表 ) 中 ， 该 转发 库 就 存放 在 网 桥 的 内 存 中 ， 其 中 包括 了 网 桥 所 能 见 到 的 所 有 
连接 站 点 的 地 址 。 这 个 地 址 数据 库 是 互联 网 所 独 有 的 ， 它 指出 了 被 接收 帧 的 方向 ， 或 者 
仅 说 明 网 桥 的 哪 一 边 接收 到 了 帧 。 能 够 自动 建立 这 种 数据 库 的 网 桥 称 为 自 适 应 网 桥 。 

在 一 个 扩展 网 络 中 ， 所 有 网 桥 均 应 采用 自 适应 方法 ， 以 便 获得 与 它 有 关 的 所 有 站 点 
的 地 址 。 网 桥 在 工作 中 不 断 更 新 其 转发 数据 库 ， 使 其 渐 趋 完备 ， 有 些 厂 商 提 供 的 网 桥 允 
许 用 户 编辑 地 址 查找 表 ， 这 样 有 助 于 网 络 的 管理 。 

(2) 帧 的 转发 和 过 滤 。 

在 相互 连接 的 两 个 局 域 网 之 间 ， 网 桥 起 到 了 转发 帧 的 作用 ， 它 允许 每 个 LAN 上 的 
站 点 与 其 他 站 点 进行 通信 ， 看 起 来 就 像 在 一 个 扩展 网 络 上 一 样 。 

为 了 有 效 地 转发 数据 帧 ， 网 桥 提 供 了 存储 和 转发 功能 ， 它 自动 存储 接收 进来 的 帧 ， 
通过 地 址 查询 表 完 成 寻 址 ; 然后 把 它 转发 到 源 地 址 另 一 边 的 目的 站 点 上 ， 而 源 地 址 同一 
边 的 帧 就 被 从 存储 区 中 删除 。 

过 滤 (filter) 是 阻止 帧 通过 网 桥 的 处 理 过 程 ， 有 三 种 基本 类 型 : 

。 第 一 种 目的 地 址 过 滤 ， 当 网 桥 从 网 络 上 接收 到 一 个 帧 后 ， 首 先 确 定 其 源 地 址 和 目 

的 地 址 ， 如 果 源 地 址 和 目的 地 址 处 于 同一 局 域 网 中 ， 就 简单 地 将 其 丢弃 ， 否 则 就 
转发 到 另 一 局 域 网 上 ， 这 就 是 所 谓 的 目的 地 址 过 滤 。 

。 第 二 种 源 地 址 过 滤 ， 就 是 根据 需要 ， 拒 绝 某 一 特定 地 址 帧 的 转发 ， 这 个 特定 的 地 

址 是 无 法 从 地 址 查找 表 中 取得 的 ， 但 是 可 以 由 网 络 管理 模块 提供 。 事 实 上 ， 并 非 
所 有 网 桥 都 进行 源 地 址 的 过 滤 。 

。 第 三 种 协议 过 滤 , 目前 , 有 些 网 桥 还 能 提供 协议 过 滤 功 能 ， 它 类 似 于 源 地 址 过 滤 ， 
由 网 络 管理 指示 网 桥 过 滤 指 定 的 协议 帧 。 在 这 种 情况 下 ， 网 桥 根据 帧 的 协议 信息 
来 决定 是 转发 还 是 过 滤 该 帧 ， 这 样 的 过 滤 通 常 只 用 于 控制 流量 、 隔 离 系统 和 为 网 
络 系统 提供 安全 保护 。 

(3) 协议 转换 。 

早期 的 FDDI 网 桥 结构 通常 是 专用 的 封装 结构 ， 这 是 由 于 早期 的 FDDI 仅 与 
IEEE 802.3 或 IEEE 802.5 子 网 相连 ， 不 需要 和 其 他 局 域 网 中 的 节点 通信 。 但 是 ， 在 一 个 
大 型 的 扩展 局 域 网 中 ， 有 很 多 系统 在 一 起 操作 ， 这 种 专用 的 封装 式 网 桥 就 无 法 提供 相互 
操作 的 能 力 。 为 此 ， 采 用 了 新 的 转换 技术 ， 依 照 与 其 他 网 络 的 桥接 标准 ， 形 成 了 转换 式 
网 桥 ， 建 立 可 适应 局 域 网 互联 的 标准 帧 。 

5) 使 用 网 桥 实 现 LAN-LAN 

如 图 1-70 所 示 ， 使 用 网 桥 实现 局 域 网 互 连 。 
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中 集线器 桥 


图 1-70 使 用 网 桥 实现 局 域 网 互 连 


使 用 网 桥 扩展 局 域 网 时 ， 所 有 主机 都 处 于 一 个 广播 域 上 。 所 以 不 能 使 用 网 桥 互 连 规 
模 较 大 的 网 络 ， 以 免 形 成 广播 风暴 。 

4. 使 用 交换 机 扩展 局 域 网 

交换 机 可 以 看 做 是 高 档 集线器 ， 有 时 也 被 称 之 为 交换 式 集线器 。 交 换 机 在 同一 时 刻 
可 进行 多 个 端口 对 之 间 的 数据 传输 。 每 一 端口 都 可 视 为 独立 的 网 段 ， 连 接 在 其 上 的 网 络 
设备 独自 享有 全 部 的 带宽 ， 无 须 同 其 他 设备 竞争 使 用 。 所 以 有 时 为 了 提供 更 快 的 接 入 速 
度 ， 我 们 可 以 把 一 些 重要 的 网 络 计算 机 直接 连接 到 交换 机 的 端口 上 。 这 样 ， 网 络 的 关键 
服务 器 和 重要 用 户 就 拥有 更 快 的 接 入 速度 ， 支 持 更 大 的 信息 流量 。 

使 用 交换 机 扩展 局 域 网 如 图 1-71 所 示 。 

传统 的 交换 机 本 质 上 是 具有 流量 控制 能 力 的 多 端口 网 桥 , 即 传统 的 (二 层 ) 交换 机 。 
交换 机 的 工作 原理 和 网 桥 一 样 ， 是 工作 在 链 路 层 的 联网 设备 ， 它 的 各 个 端口 都 具有 桥接 
功能 ， 每 个 端口 可 以 连接 一 个 LAN 或 一 台 高 性 能 网 站 或 服务 器 ， 能 够 通过 自学 来 了 解 
每 个 端口 的 设备 连接 情况 。 所 有 端口 由 专用 处 理 器 进行 控制 ， 并 经 过 控制 管理 总 线 转发 
信息 。 
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图 1-71 使 用 交换 机 扩展 局 域 网 


另外 ， 把 路 由 技术 引入 交换 机 ， 可 以 完成 网 络 层 路 由 选择 ， 故 称 为 三 层 交 换 ， 这 是 
交换 机 的 新 进展 。 
通常 把 由 交换 机 作为 中 心 设备 的 局 域 网 称 为 交换 式 局 域 网 ， 如 图 1-72 所 示 。 


交换 机 


1-72 ”交换 机 实现 局 域 网 内 部 互 连 
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5. 使 用 路 由 器 实现 LAN-LAN 

路 由 器 对 网 络 进行 物理 分 段 的 方式 与 交换 机 和 网 桥 相 同 , 但 它 还 可 以 生成 逻辑 网 段 。 
路 由 器 不 对 广播 进行 转发 。 所 以 通过 路 由 器 可 以 形成 更 多 的 广播 域 或 逻辑 网 段 ， 从 而 提 
高 网 络 的 性 能 。 如 图 1-73 所 示 ， 应 用 路 由 器 实现 局 域 网 互 连 。 


aEEEELE) 
ET 


号 | | 器] | 器 | 器 | | 器 | | 器 [下 二 所 
蝎 旦 蛙 | 时 量 汪 | 傈 线 尖 六 
图 1-73 路 由 器 实现 局 域 网 互 连 


另外 , 如 果 互 连 的 局 域 网 高 层 采用 了 不 同 的 协议 , 就 需要 用 多 协议 路 由 器 (如 图 1-74 
所 示 )。 多 协议 路 由 器 具有 处 理 多 种 不 同 协议 分 组 的 能 力 , 它 可 以 处 理 不 同 的 分 组 的 路 由 
选择 与 分 组 转发 问题 。 为 了 解决 互联 局 域 网 中 不 同类 型 主机 之 间 的 通信 问题 ， 可 以 采用 
多 协议 路 由 器 的 互 连 结构 。 


1.7.2.2 LAN-WAN 


LAN-WAN 的 互 连 发 生 在 网 络 层 。LAN-WAN 的 互 连 设备 是 路 由 器 。 

路 由 器 是 工作 在 OSI 参考 模型 第 三 层 一 一 网 络 层 的 数据 包 转 发 设备 。 路 由 器 通过 转 
发 数据 包 来 实现 网 络 互 连 。 虽 然 路 由 器 可 以 支持 多 种 协议 (例如 TCP/I[P、IPX/SPX、 
AppleTalk 等 协议 )， 但 是 在 我 国 绝 大 多 数 路 由 器 运行 TCP/IP 协议 。 图 1-75 是 用 路 由 器 
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将 局 域 网 连 至 互联 网 络 。 图 1-76 使 用 路 由 器 构建 企业 网 。 


多 协议 路 由 器 TCP/IP 节点 


TCP/IP 节点 NetWare 节点 Fj 


TCP/PP 节点 


1-74 ”使 用 多 协议 路 由 器 实现 局 域 网 互 连 
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图 1-75 用 路 由 器 将 局 域 网 连 至 互联 网 


1.7.2.3 WAN-WAN 


WAN-WAN 互 连 发 生 在 OSURM 的 传输 层 及 其 上 层 。 WAN-WAN 的 互 连 设备 是 网 
关 ， 如 图 1-77 所 示 。 

网 关 用 于 以 下 几 种 场合 的 异 构 网 络 互 连 : 

(1) 异 构 型 局 域 网 ， 如 互联 专用 交换 网 PBX 与 遵循 IEEE 802 标准 的 局 域 网 。 

(3) 局 域 网 与 广域网 的 互联 。 

(3) 广域网 与 广域网 的 互联 。 

(4) 局 域 网 与 主机 的 互联 (当主 机 的 操作 系统 与 网 络 操 作 系 统 不 兼容 时 ， 可 以 通过 
网 关连 接 )。 
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图 1-76 使 用 路 由 器 构建 企业 网 
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图 1-77 ”网 关 互连网 络 


1.7.3 路 由 选择 算法 


路 由 选择 是 指 通信 子 网 在 传输 数据 包 时 ， 在 源 节点 和 目的 节点 之 间 的 多 条 路 由 中 ， 
以 什么 规则 确定 哪 条 作为 转发 数据 包 的 通路 的 问题 。 路 由 选择 算法 是 实现 路 由 选择 功能 
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的 一 些 方法 。 通 俗 地 讲 ， 路 由 就 是 将 数据 包 从 一 个 节点 转发 到 另 一 个 节点 的 一 个 中 继 过 
程 ， 路 由 功能 即 是 学 习 和 维持 网 络 拓扑 结构 知识 的 机 制 。 除 了 采用 广播 通信 方式 外 ， 所 
有 网 络 都 需要 具备 路 由 选择 功能 。 路 由 选择 问题 是 研究 和 设计 计算 机 网 络 的 关键 问题 。 

不 同 的 网 络 对 路 由 选择 算法 的 要 求 不 一 样 ， 如 军用 网 络 要 求 可 靠 ， 普 通商 用 网 络 要 
求 经 济 ， 实 时 网 络 要 求 快速 。 但 不 论 是 什么 网 络 ， 其 路 径 选 择 算法 都 应 满足 一 些 基本 要 
求 ， 包 括 以 下 特性 。 

。 正确 性 : 路 径 选择 算法 应 能 使 数据 包 迅速 、 正 确 地 传送 。 

。 简单 性 : 算法 应 尽量 简单 ， 易 实现 ， 开 销 小 。 

。 健壮 性 : 算法 能 适应 网 络 拓扑 结构 及 流量 的 变化 ， 在 外 部 条 件 发 生变 化 时 仍 能 正 

确 地 完成 要 求 的 功能 。 

。 可 靠 性 : 不 管 运行 多 长 时 间 , 均 应 保持 正确 。 例 如 计数 器 必须 要 有 足够 的 位 数 等 。 

。 公平 性 : 各 节点 具有 均等 的 发 送信 息 的 机 会 。 

评价 路 径 选择 算法 优 劣 的 标准 会 因 用 户 的 不 同 而 有 所 不 同 。 总 的 来 说 ， 路 径 选 择 算 
法 最 好 能 找到 一 条 从 源 节点 到 目的 节点 的 最 优 路 径 。 对 最 优 的 定义 可 能 是 经 过 的 节点 数 
最 少 、 经 过 的 传输 距离 最 短 、 占 用 的 系统 带宽 最 少 、 所 用 的 传输 时 间 最 短 等 等 。 不 论 是 
什么 标准 ， 都 可 对 最 优 路 径 作 如 下 断言 : 如 果 节 点 义 是 从 节点 I 到 节点 本 的 最 优 路 径 上 
的 一 个 节点 ， 那么 该 路 径 上 从 XX 到 了 的 那 段 路 径 也 必然 是 从 XX 到 了 的 最 优 路 径 。 该 断言 
称 为 最 优化 原则 。 为 说 明 最 优化 原则 的 正确 性 ， 假 定 从 I 到 XX 的 路 径 为 HH， 从 义 到 本 的 
路 径 为 [2， 并 假定 rlr2 为 最 优 路 径 。 如 果 从 义 到 J 有 一 条 比 了 2 更 好 的 路 径 12'， 则 路 径 
ITlr2' 应 比 rlr2 更 好 ， 这 与 rlr2 为 最 优 路 径 相 矛 盾 ， 故 2 必 为 从 XX 到 丁 的 最 优 路 径 。 

应 当 指出 ， 因 为 路 由 选择 是 在 网 络 中 的 节点 相互 交换 信息 ， 共 同 协作 的 条 件 下 完成 
的 ， 所 以 路 由 选择 是 一 个 非常 复杂 的 问题 。 另 外 ， 网 络 环境 的 不 断 变 化 、 突 发 问题 的 出 
现 ， 这 些 都 是 事先 无 法 预料 的 ， 这 给 路 由 选择 也 带 来 了 不 少 困 难 。 此 外 ， 当 网 络 发 生 拥 
塞 ， 特 别 需要 有 好 的 路 由 选择 算法 能 缓解 这 种 情况 时 ， 又 因为 这 时 很 难 从 网 络 中 的 各 个 
节点 获得 所 需 的 路 由 选择 信息 ， 而 很 难处 理 。 

按照 路 径 选 择 算法 的 实现 方法 ， 可 将 其 分 为 静态 路 径 选 择 算法 与 动态 路 径 选 择 算法 
两 大 类 ， 后 面 分 别 加 以 介绍 。 

1. 静态 路 由 选择 算法 

从 路 由 选择 算法 能 否 随 网 络 的 通信 量 或 拓扑 结构 自 适应 地 进行 调整 ， 可 以 将 路 由 选 
择 算法 分 为 非 自 适 应 路 由 选择 算法 和 自 适应 路 由 选择 算法 。 非 自 适应 路 由 选择 算法 也 叫 
静态 路 由 选择 算法 ， 它 的 特点 是 算法 简单 、 开 销 较 小 ， 但 性 能 差 、 效 率 低 。 非 自 适应 路 
由 选择 算法 分 为 以 下 几 类 。 

1) 固定 路 由 算法 

这 种 方法 是 在 每 个 节点 上 保持 一 张 路 由 表 ， 表 上 标明 对 每 一 个 目的 地 址 应 走 哪 条 链 
路 进行 转发 。 这 些 表 是 在 整个 系统 进行 配置 时 生成 的 ， 并 且 在 此 后 的 一 段 相 当时 间 保 持 
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固定 不 变 。 当 网 络 拓扑 固定 不 变 并 且 通 信 量 也 相对 稳定 时 ， 采 用 固定 路 由 法 是 最 好 的 。 

那么 如 何 制作 这 样 的 路 由 表 呢 ? 常用 的 方法 是 将 网 络 内 任何 两 个 节点 之 间 的 最 短 通 
路 事先 计算 好 ， 然 后 根据 这 些 最 短 通路 制 成 路 由 表 ， 存 放 在 各 个 节点 中 。 每 一 个 分 组 都 
可 在 所 到 达 的 节点 中 查找 到 下 一 步 应 转发 到 哪 一 个 节点 《〈 即 下 一 个 节点 或 后 继 节点 ) 。 
可 见 这 种 路 由 选择 策略 的 关键 就 是 要 算出 给 定 网 络 中 任意 两 个 节点 之 间 的 最 短 通路 。 

下 面 介 绍 求 最 短 通路 的 算法 ， 这 是 由 Dijkstra 提出 的 。 已 知 条 件 是 整个 网 络 拓扑 和 
各 链 路 的 长 度 。 

应 注意 到 ， 若 将 已 知 的 各 链 路 长 度 改 为 链 路 时 延 或 费用 ， 这 就 相当 于 求 任意 两 节点 
之 间 具 有 最 小 时 延 或 最 小 费用 的 通路 。 因 此 ， 求 最 短 通 路 的 算法 具有 普遍 的 应 用 价值 。 

2) 分 散 通信 量 法 〈traffic bifurcation) 

这 种 方法 事先 在 每 个 节点 的 内 存 中 设置 一 个 路 由 表 ， 但 此 路 由 表 中 给 出 几 个 可 供 采 
用 的 输出 链 路 ， 并 且 对 每 条 链 路 赋予 一 个 概率 。 当 一 个 分 组 到 达 该 节点 时 ， 此 节点 即 产 
生 一 个 0.00 一 0.99 的 随机 数 ， 然 后 按 此 随机 数 的 大 小 ， 查 表 找 出 相应 的 输出 链 路 。 

3) 洪 泛 法 (flooding) 

这 种 方法 是 当 某 个 节点 收 到 一 个 不 是 发 给 它 的 分 组 时 ， 就 向 所 有 于 此 节点 相连 的 链 
路 转发 出 去 。 当 然 ， 不 能 再 把 这 个 分 组 发 到 它 刚 刚 离开 的 那个 节点 ， 否 则 就 永远 有 一 些 
分 组 来 回 不 停 地 在 各 条 链 路 上 “振荡 ”。 当 网 络 的 通信 和 量 很 小 时 ， 洪 泛 法 可 使 分 组 的 时 
延 为 最 小 。 此 外 ， 在 许多 条 并 行 发 送 的 路 由 中 ， 显 然 会 有 一 条 是 最 佳 的 。 

实际 上 在 运行 网 络 中 却 很 少 采 用 洪 泛 法 。 这 是 因为 采用 洪 泛 法 后 ， 网 络 中 的 分 组 数 
目 会 迅速 增长 ， 结 果 导 致 网 络 出 现 拥塞 现象 。 

可 以 采用 两 种 方法 来 限制 分 组 的 数目 。 一 种 方法 是 在 每 个 分 组 的 首部 设置 一 个 计数 
器 。 每 当 分 组 到 达 一 个 节点 时 , 计数 器 即 自动 加 1。 当 计数 器 所 计 的 数 到 达 规 定 值 时 〈 如 
达到 端 到 端 所 能 达到 的 最 大 段 数 ) ， 即 将 此 分 组 丢弃 。 另 一 种 方法 是 在 每 个 节点 建立 一 
个 登记 表 ， 凡 经 过 此 节点 的 分 组 均 进 行 登记 。 当 某 个 分 组 再 次 通过 节点 时 ， 即 将 该 分 组 
丢弃 。 当 然 ， 这 种 方法 所 付出 的 代价 是 各 节点 都 要 用 去 不 少 的 存储 空间 。 建 立 登 记 表 的 
方法 可 以 有 效 地 防止 分 组 在 网 内 无 限制 地 循环 。 

洪 泛 法 在 军用 网 中 很 有 用 ， 因 为 它 有 很 好 的 稳健 性 。 洪 泛 法 还 可 以 修改 成 有 选择 的 
洪 泛 法 ， 它 的 特点 是 仅 在 满足 某 些 事先 确定 的 条 件 的 链 路 上 转发 分 组 ， 因 此 分 组 不 会 向 
不 希望 去 的 方向 转发 。 

4) 随机 走动 法 (random walk) 

这 种 方法 又 称 为 随机 徘徊 ， 其 特点 是 当 分 组 到 达 某 个 节点 时 就 随机 地 选择 一 条 链 路 
作为 转发 的 路 由 。 例 如 ， 某 节点 可 供 转发 的 输出 链 路 共有 3 条 ， 那 么 就 以 平均 概率 0.33 
选择 任 一 条 链 路 作为 其 转发 的 路 由 。 在 非 自 适 应 的 路 由 策略 中 ， 若 可 能 发 生 节点 或 链 路 
的 故障 ， 那 么 随机 走动 法 已 被 证 明 是 非常 有 效 的 ， 它 使 得 路 由 算法 具有 较 好 的 稳健 性 。 
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2. 自 适应 路 由 选择 算法 

上 述 静 态 路 由 选择 算法 都 只 考虑 了 网 络 的 静态 情况 , 且 主 要 考虑 的 是 静态 拓扑 结构 。 
在 一 个 实际 的 网 络 中 ， 网 络 节点 众多 ， 随 时 都 有 节点 开始 或 停止 工作 ， 网 络 的 拓扑 结构 
随时 都 有 可 能 发 生变 化 ， 同 时 各 节点 的 通信 请 求 也 是 不 可 预知 的 ， 网 络 上 的 负载 状况 也 
是 动态 变化 的 ， 因 而 采用 静态 路 由 选择 算法 一 般 不 能 很 好 地 满足 路 由 选择 的 基本 要 求 ， 
甚至 根本 就 不 能 找到 一 条 路 由 。 因 此 研究 既 考 虑 拓扑 结构 又 考虑 通信 和 负载 的 动态 路 由 选 
择 算 法 就 十 分 必要 。 

动态 路 由 选择 算法 也 叫 自 适应 路 由 选择 算法 ， 它 的 特点 是 能 较 好 地 适应 网 络 状态 的 
变化 ， 但 实现 起 来 比较 复杂 。 其 工作 过 程 包括 以 下 4 个 部 分 。 

。 测量 : 测量 并 感知 网 络 状态 ， 主 要 包括 拓扑 结构 、 流 量 及 通信 延迟 。 

。 报告 : 向 有 关 进 程 或 节点 报告 测量 结果 。 

。 更 新 : 根据 测量 结果 更 新 路 由 表 。 

。 决策 : 根据 新 路 由 表 重 新 选择 合适 的 路 由 转发 数据 包 。 

1) 孤立 自 适 应 路 由 选择 算法 

这 类 算法 只 根据 本 节点 获知 的 网 络 信息 确定 数据 包 的 输出 线 ， 节 点 之 间 不 交换 路 由 

言 息 。 
(1) 热土 豆 算法 。 
在 网 络 中 ， 每 条 输出 线 都 有 若干 缓冲 区 ， 供 等 待 输出 的 数据 包 排 队 使 用 。 热 土豆 算 
法 的 思想 是 ， 每 收 到 一 个 数据 包 ， 总 是 选择 队列 最 短 的 输出 线 转发 数据 包 ， 以 求 最 快 输 
出 。 其 名 字 的 由 来 是 缘 于 当 人 拿 到 一 个 热土 豆 时 ， 因 害怕 手 被 烫伤 ， 总 想 尽快 地 将 其 丢 
出 去 。 

热土 豆 算法 在 转发 数据 包 时 ， 只 考虑 了 队列 的 长 度 即 包 的 数量 ， 没 有 考虑 网 络 的 带 
宽 及 全 网 的 负载 状况 。 当 网 络 每 部 分 的 带宽 不 一 样 时 ， 该 算法 不 能 保证 转发 的 路 径 是 最 
优 路 径 。 

(2) 反 向 探知 算法 。 

当 一 个 节点 首次 转发 要 到 达 某 一 节点 的 数据 包 时 ， 由 于 此 前 没有 进行 过 相应 的 路 径 
选择 ， 因 而 要 选择 一 条 到 该 节点 的 路 径 并 不 是 一 件 简 单 的 事 。 但 是 本 节点 先前 转发 过 某 
些 数据 包 ， 记 录 着 目前 要 转发 的 数据 包 中 的 目的 节点 到 源 节 点 的 信息 ， 即 当前 数据 包 的 
反 向 路 径 ， 则 本 节点 就 可 利用 该 信息 ， 试 探 着 沿 原 路 径 的 反 向 路 径 转发 数据 包 。 反 向 探 
知 算法 就 是 采用 这 种 方法 来 寻找 路 径 的 。 

反 向 探知 算法 的 明显 缺点 是 : @ 路 径 信息 是 间接 的 ， 不 可 靠 的 ; @ 当 没 有 反 向 路 
径 信 息 时 ， 正 常 的 路 径 选 择 就 难以 完成 ，@ 存在 来 回 传 送 即 振荡 的 可 能 。 

2) 分 布 式 路 由 选择 算法 

在 分 布 式 路 由 选择 算法 中 ， 最 基本 的 算法 有 两 个 ， 即 距离 向 量 路 由 选择 算法 和 链 路 
状态 路 由 选择 算法 。 
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(1) 距离 向 量 路 由 选择 算法 。 

在 距离 矢量 路 由 选择 算法 中 ， 每 个 路 由 器 维持 有 一 张 子 网 中 每 一 个 以 其 他 路 由 器 为 
索引 的 路 由 表 ， 表 中 每 一 个 项 目 都 对 应 于 子 网 中 的 每 个 路 由 器 。 此 表 项 包括 两 个 部 分 ， 
即 希望 使 用 的 到 目的 地 输出 线路 和 估计 到 达 目 的 地 所 需 时 间或 距离 。 所 用 度量 标准 可 分 
为 站 点 ， 估 计 的 时 间 延 迟 (ms)， 该 路 由 排队 的 分 组 估计 总 数 或 类 似 的 值 。 

假定 路 由 器 知道 它 到 每 个 相 邻 路 由 器 的 “距离 ”。 如 果 度 量 标准 为 站 点 ， 其 距离 就 
为 一 个 站 点 。 如 果 度 量 标准 是 队列 长 度 ， 则 路 由 器 会 简单 地 检查 每 个 队列 。 如 果 度 量 标 
准 是 延迟 ， 路 由 器 可 以 直接 发 送 一 个 特别 “响应 ”分 组 来 测 出 延迟 ， 接 收 者 只 对 它 加 上 
时 间 标 记 后 就 尽快 送 回 。 

例如 ， 设 某 节 点 本 经 相 邻 节点 Y, 本 的 相 邻 节点 为 X!，X，，…，X,。 则 了 需要 选择 
输出 线 (X1，X2，…，X,) 之 一 进行 转发 。 选 择 前 先 计 算 延 迟 时 间 : 

Trymin=—min{tixirtTxiy, trotTx2y ，…，1npo+Txor } 
式 中 ，tpa，tno，…，tno 是 当前 已 知 数值 ，7Tx1y，7Tx2y，…，Txwy 是 各 相 邻 节点 到 目的 
节点 的 延迟 ， 通 过 交换 信息 后 得 到 的 值 。 找 出 Tiy 最 小 的 一 条 路 径 ， 如 Xi， 然后 转发 。 

该 算法 在 理论 上 能 有 效 工 作 ， 但 实现 是 有 诸多 缺点 ， 主 要 有 如 下 三 个 方面 

第 一 ， 无 穷 计 算 问题 。 其 中 突出 的 问题 是 爱好 听 好 消息 ， 即 对 好 消息 反应 快 ， 对 坏 
消息 反应 慢 。 例 如 ， 对 于 图 1-78 所 示 的 网 络 ， 开 始 时 A 与 B 未 连接 ， 此 时 当 B 要 向 A 
发 送信 息 时 ， 无 法 完成 。 在 某 时 刻 ，A 与 B 连通 ， 交 换 信息 时 ，C 得 知 它 可 以 到 达 A 
距离 为 2。 以 后 D，E 依次 得 知 分 别 有 距 离 为 3，4 的 路 径 到 达 A。B 很 快 就 获知 到 A 的 
路 径 。 这 是 好 消息 。 若 在 某 个 时 刻 ，A 与 B 断 开 了 【可 能 是 下 网 或 A，B 间 线 路 断 开 )， 
这 时 B 不 能 直接 与 A 通信 ,但 知道 C 与 A 间 有 通路 ， 于 是 将 信息 发 送 给 C， 由 C 转发 ; 
C 通过 B 无 法 转发 ， 又 会 通过 DD 转发 ， 依 此 类 推 ， 直 到 经 若干 次 交换 信息 ，E 报告 与 A 
无 法 通信 。 这 时 B 才 断 定 与 A 不 能 通信 。 对 这 一 坏 消息 ， 网 络 反 应 很 慢 。 事 实 上 是 在 测 
试 了 所 有 可 能 性 后 才 知 道 ， 因 为 各 节点 间 交 换 路 径 和 延迟 信息 是 逐步 进行 的 。 当 网 络 很 
大 时 ， 这 个 过 程 是 缓慢 的 。 在 这 个 例子 中 采用 的 测量 标准 是 站 点 数 ， 它 存在 一 个 上 限 值 ， 
容易 判断 什么 时 候 停 止 测试 。 但 是 如 果 改 用 延迟 时 间作 为 测量 标准 ， 因 为 上 限 值 无 法 确 
定 ， 因 而 终止 条 件 难 以 确定 ， 只 得 让 算法 一 直 测 量 或 等 待 下 去 。 这 就 是 无 穷 计算 的 原因 。 
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图 1-78 ”无穷 计算 问题 


第 二 ， 开 销 大 。 每 个 节点 不 仅 要 计算 大 量 数 据 ， 而 且 还 要 周期 性 地 与 邻 节 点 交换 信 
息 ， 增 加 大 量 通 信 开 销 。 

第 三 ， 可 能 造成 阻塞 。 由 于 网 络 的 延迟 及 路 径 信息 的 传播 是 通过 相 邻 节点 间 交 换 信 
息 实现 的 ， 而 这 一 过 程 是 按 周 期 分 布 完 成 的 ， 使 得 网 络 中 各 节点 获知 网 络 状态 的 时 间 有 
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先 有 后 ， 从 而 影响 路 径 选 择 ， 导 致 大 量 数据 包 选 择 了 先前 是 较 优 路径 ， 而 当前 已 不 再 是 
较 优 甚至 是 不 通 的 路 径 转 发 ， 最 终 导 致 网 络 阻塞 。 

(2) 链 路 状态 路 由 选择 算法 。 

在 距离 向 量 选择 算法 中 ， 有 两 个 主要 问题 没有 得 到 解决 。 一 是 在 延迟 度量 标准 中 没 
有 考虑 网 络 的 带宽 。 早 期 的 网 络 比较 简单 ， 各 部 分 带宽 是 一 致 的 ， 但 现在 网 络 已 变 得 十 
分 复杂 ， 各 部 分 性 能 可 能 相差 甚 远 ， 带 宽 已 是 一 个 不 可 忽视 的 因素 ， 二 是 开销 问题 。 算 
法 用 于 记录 、 传 递 延 迟 和 路 由 信息 的 时 间 和 资源 开销 随 着 网 络 规模 的 扩大 而 变 得 十 分 严 
重 ， 必 须 加 以 解决 。 链 路 状态 路 径 选择 算法 就 是 对 距离 向 量 算法 的 一 种 改进 。 

在 链 路 状态 路 径 选择 算法 中 每 个 节点 的 工作 可 以 分 为 如 下 4 部 分 : 

。 发 现 邻 节点 ， 并 知道 其 地 址 。 

。 测量 到 各 邻 节点 的 延迟 。 

。 将 所 测量 到 的 信息 告诉 其 他 节点 。 

。 重新 计算 路 由 。 

每 一 部 分 的 具体 功能 如 下 : 

@ 发现 邻 节点 。 

任何 节点 工作 时 , 都 必须 知道 邻 节点 。 其 方法 是 向 每 个 链 路 发 送 一 个 特殊 的 信息 包 ， 
由 链 路 另 一 端的 节点 回 送 一 个 应 答 包 ， 节 点 据 此 知道 邻 节点 是 谁 。 

@ 测量 到 邻 节点 的 延迟 。 

发 送 一 个 特殊 的 测量 包 到 各 相 邻 节点 , 各 相 邻 节点 收 到 该 包 后 , 必须 立即 给 以 应 答 。 
待 收 到 应 答 后 用 所 需 时 间 除 以 2 作为 到 相应 节点 的 延迟 。 在 测量 延迟 时 ， 可 考虑 带宽 因 
素 对 延迟 的 影响 。 为 此 ， 一 种 方法 是 ， 测 量 多 次 ， 然 后 取 平 均值 作为 延迟 ， 但 在 一 个 巨 
型 网 络 中 ， 一 般 不 这 样 做 ， 另 一 种 方法 是 ， 测 量 延 迟 时 把 所 有 的 时 间 开 销 ， 如 等 待 时 间 
全 部 计算 在 内 ， 这 样 一 般 能 更 真实 地 反映 网 络 的 状态 。 但 这 样 做 的 缺点 是 ， 可 能 造成 振 
荡 ， 即 在 多 条 路 径 中 在 某 个 时 刻 一 条 路 径 延 迟 小 ， 使 得 全 部 包 都 选择 该 路 径 ， 导 致 该 路 
径 堵塞 ， 再 测量 时 发 现 另外 路 径 延 迟 小 ， 所 有 包 又 选择 到 另外 路 径 ， 使 系统 来 回 更 换 路 
径 ， 即 形成 振荡 ， 却 不 能 均匀 地 分 配 这 些 通信 载荷 到 各 路 径 上 。 

@ 报告 测量 结果 。 

当 一 个 节点 测量 到 所 有 邻 节 点 及 延迟 信息 后 ,就 用 一 个 特殊 的 包 ( 称 为 链 路 状态 包 ) 
将 测量 的 结果 通知 邻 节点 。 

链 路 状态 包 的 传送 对 算法 的 运行 有 着 重要 影响 。 因 为 ， 如 果 链 路 状态 包 以 不 同 的 延 
迟到 达 邻 节点 ， 或 部 分 包 丢 失 ， 就 可 能 导致 各 邻 节点 会 使 用 不 同 版 本 的 信息 ， 而 这 些 信 
息 可 能 对 应 着 不 同 的 网 络 拓扑 结构 ， 从 而 可 能 导致 路 径 的 不 一 致 性 、 死 循环 、 不 可 到 达 
的 节点 及 其 他 问题 出 现 。 链 路 状态 包 通 常 采 用 广播 或 扩散 的 办 法 传送 。 链 路 状态 包 中 应 
包括 一 个 序号 ， 以 区 别 不 同 的 链 路 状态 包 。 邻 节点 收 到 该 包 后 ， 根 据 序号 作 相 应 处 理 。 
车 该 包 已 收 到 过 ， 就 丢弃 ; 否则 ， 记 录 该 包 并 进行 扩散 。 该 方法 存在 一 个 问题 ， 就 是 某 
节点 在 工作 过 程 中 因 故 复位 ， 重 新 工作 后 序号 从 头 开 始 ， 使 得 其 他 节点 本 来 是 新 包 当 成 
了 接收 过 的 旧 包 而 丢弃 掉 。 
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@ 重新 计算 路 由 。 

每 个 节点 周期 性 地 收 到 其 他 节点 发 送 的 链 路 状态 包 后 ， 就 可 以 周期 性 地 重 构 网 络 拓 
扑 ， 并 且 可 以 知道 任意 两 个 相 邻 节点 之 间 的 延迟 时 间 ， 节 点 根据 这 些 信息 就 可 以 使 用 
Dijkstra 算法 重新 计算 到 达 任 意 节点 的 最 优 路 径 供 下 次 转发 数据 包 时 使 用 。 

链 路 状态 路 径 选择 算法 是 曾 被 广泛 采用 的 一 种 算法 , 如 NSFNET、Netware、 DecNet、 
OSPF 等 都 使 用 过 该 算法 。 

3. 广播 路 由 选择 算法 

对 于 一 些 特定 的 应 用 ， 如 天 气 预 报 、 股 市 行情 或 电视 节目 等 ， 一 个 节点 需要 将 数据 
发 送 到 其 他 所 有 节点 。 将 数据 同时 发 送 给 所 有 其 他 节点 的 方式 称 为 广播 。 在 有 些 应 用 中 ， 
一 个 节点 需要 将 信息 发 送 给 网 内 部 分 节点 ， 这 种 方式 称 为 组 播 或 多 播 (multicast) 。 

1) 广播 路 由 选择 算法 

实现 广播 的 算法 有 多 种 ， 主 要 有 以 下 一 些 。 

。 独立 发 送 方法 : 这 种 方法 不 需要 子 网 络 具有 特殊 的 广播 功能 。 当 需要 广播 信息 时 ， 

广播 节点 采用 点 对 点 传送 策略 将 广播 信息 向 每 个 节点 发 送 一 遍 。 这 种 方法 不 仅 需 
要 广播 节点 知道 所 有 节点 的 地 址 ， 而 且 也 非常 浪费 带宽 。 在 很 多 小 型 网 络 中 ， 这 
是 一 种 唯一 可 用 的 方法 ， 但 也 是 最 不 理想 的 方法 。 

。 扩散 方法 : 扩散 方法 的 显著 缺点 是 ， 产 生 太 多 的 重复 包 ， 浪 费 带宽 。 在 扩散 方法 
中 ， 必 须 采 取 控 制 策略 ， 以 防 产生 广播 风暴 ， 即 大 量 的 包 不 断 繁殖 、 循 环 传送 。 

。 多 目的 路 径 选 择 : 该 方法 是 让 每 个 包 都 包含 一 张 目的 地 址 清单 。 每 个 中 间 节 点 根 
据 地 址 清单 确定 输出 线 集合 ， 并 复制 包 ， 制 作 新 的 目的 地 址 清单 。 依 此 过 程 ， 直 
到 到 达 最 后 一 个 节点 即 目的 地 址 清单 为 空 为 止 。 

。 生成 树 方法 : 生成 树 是 子 网 的 子 集 ， 包 括 所 有 节点 ， 但 不 包含 回路 。 该 方法 以 源 
节点 作为 生成 树 的 根 ， 采 用 扩散 方法 转发 数据 包 ， 是 一 种 高 效 的 实现 方法 。 但 问 
题 是 每 个 节点 都 需要 知道 相应 的 生成 树 。 

。 逆向 转发 方法 : 该 方法 近似 于 生成 树 方法 但 不 需要 事先 知道 生成 树 。 该 方法 的 基 
本 思想 是 ， 当 节点 收 到 一 个 广播 包 时 ， 就 检查 该 包 是 否 来 自 通常 用 于 从 本 节点 发 
送 包 到 广播 源 的 链 路 。 若是, 则 此 广播 包 极 可 能 是 从 源 节点 来 的 第 一 个 包 , 这 时 ， 
本 节点 复制 该 包 并 将 其 从 输入 线 外 的 所 有 链 路 转发 ， 如 果 该 广播 包 不 是 来 自从 本 
节点 到 达 广 播 源 的 链 路 ， 即 输入 线 不 是 从 本 节点 到 广播 源 的 路 径 的 初始 输出 线 ， 
就 丢弃 该 包 。 

2) 组 播 路 由 选择 算法 

为 了 实现 组 播 ， 每 个 节点 都 需要 知道 自己 属于 哪个 组 ， 同 时 需要 计算 一 棵 覆盖 整个 
子 网 的 生成 树 。 在 转发 过 程 中 ,对 生成 树 进行 修剪 ， 去 掉 那 些 不 能 到 达 小 组 成 员 的 线路 ， 
最 终 得 到 一 个 只 包含 小 组 成 员 的 生成 树 。 

4. 分 层 路 由 选择 算法 

随 着 网 络 的 增 大 ， 路 径 选 择 表 会 急剧 增 大 。 这 些 表 格 不 仅 占 用 大 量 存储 器 空间 ， 更 
严重 的 是 ， 测 量 、 计 算 、 交 换 网 络 状态 及 路 径 信 息 会 占用 大 量 的 时 间 。 当 网 络 节点 数 达 
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到 一 定 规模 后 ， 再 以 节点 为 单位 进行 路 径 选 择 已 变 得 不 可 能 。 层 次 路 径 选择 算法 就 是 针 
对 这 一 情况 而 采取 的 解决 方法 。 

层次 路 径 选择 算法 也 叫 分 级 路 径 选择 算法 ， 其 基本 思想 就 是 先 将 网 络 分 成 区 域 ， 将 
区 域 分 成 簇 ， 再 将 簇 分 成 区 ， 区 分 为 组 ， 直 到 最 后 每 个 单位 内 节点 数 较 少 为 止 。 具 体 分 
多 少 层 ， 要 视 网 络 的 规模 而 定 。 在 进行 路 径 选择 时 ， 在 每 一 层 上 ， 都 以 该 层 的 划分 单位 
作为 一 个 虚拟 节点 进行 路 径 选择 ， 当 包 到 达 该 虚拟 节点 后 ， 再 以 下 级 划分 单位 进行 路 径 
选择 ， 直 到 最 后 到 达 实 际 的 目的 节点 为 止 。 例 如 ， 在 第 一 层 ， 以 区 域 为 单位 进行 路 径 选 
择 ， 而 区 域 数 可 能 较 少 ， 实 现 起 来 相对 容易 ， 到 达 一 个 区 域 后 ， 再 以 簇 为 单位 进行 路 径 
选择 。 依 此 类 推 。 如 对 于 因特网 ， 可 将 一 个 国家 分 为 一 个 区 域 ， 这 样 在 顶层 就 只 有 100 
多 个 虚拟 节点 ， 在 每 一 个 国家 (区 域 ) 内 ， 根 据 规模 大 小 可 进一步 分 成 艇 、 区 、 组 等 。 如 
在 中 国 某 处 的 一 个 节点 要 向 美国 的 某 节点 发 送信 息 ， 当 进行 路 径 选择 时 ， 不 是 直接 找到 
达 对 方 节点 的 路 径 ， 而 是 先 找到 达 美 国 的 路 径 。 到 达 美 国之 后 ， 路 径 由 位 于 美国 的 节点 
依据 相同 的 算法 完成 。 

层次 路 径 选 择 算法 在 每 一 层 上 的 选择 算法 可 采用 前 面 已 经 介绍 的 方法 实现 。 层 数 的 
多 少 ， 对 路 径 选 择 的 效率 、 性 能 会 有 不 同 的 影响 。Kamoun 和 Kleinrock 已 证 明 , 对 于 NN 
个 节点 的 网 络 ， 最 优 层 数 为 InN， 每 个 节点 需要 的 表 项 总 数 为 elnN。 


1.8 ”Internet 协议 


Intemet 协议 的 主要 协议 及 其 层次 关系 如 图 1-79 所 示 。 


区 HTTP FTP SMTP || TELNET DNS RIP SNMP DHCP 
应 用 层 


二 


TCP UDP 


传输 层 


ICMP OSPF 


网 络 层 


1-79 ”Intemet 协议 及 其 层次 关系 


第 1 章 ， 计 算 机 网 络 原理 143 


1.8.1 网 络 层 协议 


1.8.1.1 IPv4 协议 


1. IP 地 址 

1) 概述 

Intemet 中 有 数 百 万 台 以 上 的 主机 和 路 由 器 ， 卫 地 址 可 以 确切 地 标识 它们 。 一 台 主 
机 至 少 拥有 一 个 卫 地 址 。 任 何 两 台 主 机 的 IP 地 址 不 能 相同 ， 但 是 允许 一 台 主 机 拥有 多 
个 耳 地 址 。 如 果 一 台 计算 机 虽然 也 连 入 Intemet， 使 用 Intemet 的 某 些 功能 , 但 它 没有 自 
己 的 了 PP 地址， 就 不 能 称 为 主机 。 它 只 能 通过 连接 某 台 具有 IP 地 址 的 主机 实现 这 些 功能 
的 ， 因 此 只 能 作为 上 述 主 机 的 仿真 终端 ， 其 作用 如 同 该 主机 的 普通 终端 一 样 ， 而 不 论 其 
自身 的 功能 有 多 强 。 

IP 地 址 的 划分 经 过 了 三 个 阶段 : 分 类 的 他 地 址 ， 子 网 的 划分 ; 构成 超 网 。 

2) 分 类 人 PP 地址 结构 及 类 别 

IP 地 址 是 由 32 位 二 进 制 数 ， 即 4 个 字 节 组 成 的 ， 它 与 硬件 没有 任何 关系 ， 所 以 也 
称 为 逻辑 地 址 。 它 由 网 络 号 和 主机 号 两 个 字段 组 成 ， 这 样 的 卫 地 址 是 两 级 卫 地 址 ， 如 
图 1-80 所 示 。IP 地 址 的 结构 使 我 们 可 以 在 因特网 上 很 方便 地 进行 寻 址 ， 这 就 是 ， 先 按 
IP 地 址 中 的 网 络 号 (net-id)〉 把 网 络 找到 ， 再 按 主机 号 〈host-id) 把 主机 找到 。 所 以 人 P 
地 址 并 不 只 是 一 个 计算 机 的 代号 ， 而 是 指出 了 连接 到 某 网 络 上 的 某 计 算 机 。 


比特 31 0 


图 1-80 IP 地 址 结构 


为 了 便于 对 人 P 地 址 进行 管理 ,同时 还 考虑 到 网 络 的 差异 很 大 ， 有 的 网 络 拥有 很 多 主 
机 ， 而 有 的 网 络 上 的 主机 则 很 少 。 因 此 因特网 的 卫 地 址 分 成 为 5 类 ， 即 A 类 到 E 类 ， 
如 图 1-81 所 示 。 目 前 大 量 使 用 的 卫 地 址 是 A，B，C 三 类 。 当 某 单位 申请 到 一 个 卫 地 
址 时 ， 实 际 上 只 是 获得 了 一 个 网 络 号 net-id， 具 体 的 各 个 主机 号 由 本 单位 自行 分 配 。 


比特 ”31 23 15 7 0 
A 类 [|o netid | host-id 

B 类 | 10 net-id | host-id 

c 类 | no net-id host-id 

D 类 | 1110 组 播 地 址 

E 类 | lllo 保留 为 以 后 使 用 


1-81 卫 地 址 的 类 型 
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3) 特殊 卫 地 址 

卫 定义 了 一 套 特殊 地 址 格式 ， 称 为 保留 地 址 。 这 些 特殊 地 址 包括 网 络 地 址 、 主 机 
地 址 、 直 接 广播 地 址 、 有 限 广播 地 址 、 本 机 地 址 。 

4) 子 网 及 子 网 掩 码 

两 级 卫 地 址 的 缺点 : 

。 IP 地 址 空间 的 利用 率 有 时 很 低 。 

。 给 每 一 个 物理 网 络 分 配 一 个 网 络 号 会 使 路 由 表 变 得 太 大 因而 使 网 络 性 能 变 坏 。 

在 人 P 地 址 中 增加 一 个 subnet-id 字段 , 使 两 级 的 IP 地 址 变 成 为 三 级 的 IP 地 址 。 这 
种 做 法 叫 作 划 分 子 网 (subnetting)， 如 图 1-82 所 示 。 划 分 子 网 纯 属 一 个 单位 内 部 的 事情 。 
单位 对 外 仍然 表现 为 没有 划分 子 网 的 网 络 。 因 此 子 网 号 subnet-id 是 从 两 级 IP 的 主机 号 
部 分 “借用 ”的 若干 个 位 。 


比特 31 0 
| ed | amerd | aorid | 
子 网 拖 四 | 1I11111111IIIIIIIIIIIIL | ooooooooo | 


图 1-82 三 级 全 地 址 的 类 型 及 子 网 掩 码 


当 外 面 的 分 组 进入 到 本 单位 网 络 后 ， 本 单位 的 路 由 器 如 何 确 定 应 转发 的 子 网 呢 ? 这 
就 是 子 网 掩 码 的 作用 。 将 子 网 掩 码 和 IP 地 址 进行 逐 位 相 “ 与 ”所 得 的 结果 就 是 网 络 地 
址 。 这 里 的 网 络 地 址 显然 是 net-id 和 subnet-id 不 变 host-id 全 0 的 。 

5) VLSM 和 CIDR 

在 1992 年 因特网 面临 三 个 必须 尽早 解决 的 问题 : 

。 B 类 地 址 在 1992 年 已 分 配 了 近 一 半 ， 眼 看 就 要 在 1994 年 3 月 全 部 分 配 完毕 ! 

。 因特网 主干 网 上 的 路 由 表 中 的 项 目 数 急剧 增长 (从 几 千 个 增长 到 几 万 个 )。 

。 整个 IPv4 的 地 址 空间 最 终 将 全 部 耗 尽 。 

1987 年 ，RFC 1009 指明 在 一 个 划分 子 网 的 网 络 中 可 同时 使 用 几 个 不 同 的 子 网 掩 
码 。 使 用 变 长 子 网 掩 码 (Variable Length Subnet Mask，VLSM) 可 进一步 提高 卫 地 址 
资源 的 利用 率 。 

在 VLSM 的 基础 上 又 进一步 研究 出 无 分 类 编 址 方法 , 正式 名 字 是 无 分 类 域 间 路 由 选 
择 (Classless Inter-Domain Routing，CIDR)。 

CIDR 两 级 编 址 的 记 法 如 图 1-83 所 示 。 


比特 31 0 
全 地 址 [ network-prefix | host-id | 


1-83 ”CIDR 两 级 编 址 结构 


CIDR 常 采 用 如 128.14.32.0/20 的 表示 方法 ， 即 在 IP 地 址 后 面 加 上 一 个 斜 线 “/”， 
然后 写 上 网 络 前 缀 所 占 的 比特 数 。 并 隐 含 地 指出 P 地 址 128.14.32.0 的 掩 码 是 255.255. 
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240.0。CIDR 虽然 不 使 用 子 网 了 ， 但 仍然 使 用 “ 掩 码 ”这 一 名 词 ( 但 不 叫 子 网 掩 码 )。 

CIDR 将 网 络 前 缀 都 相同 的 连续 的 卫 地 址 组 成 “CIDR 地 址 块 ”” 即 一 个 CIDR 地 
址 块 可 以 表示 很 多 地 址 ， 这 种 地 址 的 聚合 常 称 为 路 由 聚合 ， 它 使 得 路 由 表 中 的 项 目 大 大 
减少 。 

另外 了 他 地 址 还 分 为 全 球 地 址 和 专用 地 址 。RFC 1918 指明 的 专用 地 址 是 : 

。 10.0.0.0 一 10.25$.255.255 〈 或 记 为 10/8) 

。 172.16.0.0~172.31.255.255 〈 或 记 为 172.16/2) 

。 192.168.0.0 一 192.168.255.255 (或 记 为 192.168/16) 

2. IPv4 数据 报 格式 

IPv4 数据 报 格式 如 图 1-84 所 示 。 


4 8 
标识 


可 选 字段 〈 长 度 可 变 ) 填充 
数据 部 分 


如 图 1-84 ”IPv4 数据 报 格式 


。 版 本 : 4bit， 指 全 协议 的 版 本 ， 目 前 的 他 协议 版 本 号 为 4( 即 IPv4)。 

。 首部 长 度 : 4bit， 可 表示 的 最 大 数值 是 15 个 单位 (一 个 单位 为 4B)， 因 此 IP 的 首 
部 长 度 的 最 大 值 是 60B。 

。 服务 类 型 : 8bit， 用 来 获得 更 好 的 服务 ， 包 括 时 延 、 吞 吐 量 、 可 靠 性 、 路 由 费用 
等 。 在 相当 长 一 段 时 期 内 并 没有 什么 人 使 用 服务 类 型 字段 ， 直 到 最 近 ， 当 需要 将 
实时 多 媒体 信息 在 因特网 上 传送 时 ， 服 务 类 型 字段 才 重 新 引起 大 家 的 重视 。 

。 总 长 度 : 16bit， 指 首部 和 数据 之 和 的 长 度 ， 单 位 为 字 节 ， 因 此 数据 报 的 最 大 长 度 

为 65 535B。 总 长 度 必须 不 超过 最 大 传送 单元 MTU。 

标识 : 16bit， 为 了 使 分 片 后 的 各 数据 报 片 最 后 能 准确 地 重 装 成 为 原来 的 数据 报 。 

标志 : 3bit， 目 前 只 有 前 两 个 比特 有 意义 。 

片 偏 移 ，12bit， 表 示 较 长 的 分 组 在 分 片 后 ， 某 片 在 原 分 组 中 的 相对 位 置 。 片 偏 移 

以 8B 为 偏 移 单位 。 

。 生存 时 间 : 8bit， 记 为 TTL， 表 示 数 据 报 在 网 络 中 的 寿命 ， 初 始 值 为 允许 经 过 的 
跳 数 ， 一 般 为 15。 

。 协议 : 8bit， 指 出 此 数据 报 携带 的 数据 使 用 何 种 协议 ， 以 便 目 的 主机 的 卫 层 将 数 
据 部 分 上 交 给 哪个 处 理 过 程 。 

。 首部 检验 和 : 16bit。 只 检验 数据 报 的 首部 不 包括 数据 部 分 。 这 里 不 采用 CRC 检 
验 码 而 采用 简单 的 补 码 计 算 方 法 。 
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。 源 地 址 : 4B。 
目的 地 址 : 4B。 
。 可 选 字 段 : 用 来 增加 卫 数据 报 的 功能 。 
填充 : 能 够 填充 32 位 。 

。 数据 部 分 : 使 用 IP 数据 报 所 传输 的 内 容 和 协议 字段 有 很 大 的 关系 。 假 如 协议 字 

段 指明 是 TCP 协议 ， 那 么 数据 部 分 就 是 一 个 TCP 报 文 。 但 如 果 他 包 分 片 了 ， 就 
不 是 一 个 完整 的 TCP 报 文 了 。 

3. JP 数据 报 的 封装 与 分 片 

卫 数 据 报 处 于 网 络 层 ， 在 传送 时 它 需要 下 层 协议 给 它 提 供 服 务 ， 把 它 封 装 在 数据 链 
路 层 的 协议 数据 单元 一 一 帧 的 数据 域 中 。 而 数据 帧 的 格式 和 其 数据 域 大 小 的 定义 和 上 层 
协议 是 独立 的 ， 它 不 会 事先 去 考虑 上 层 的 协议 数据 单元 的 大 小 。 所 以 如 果 下 层 帧 的 数据 
域 小 于 人 P 数据 报 大 小 ，IP 数据 报 必须 分 片 。 如 果 卫 数据 报 传送 时 进行 了 分 片 ， 卫 首部 
的 “总 长 度 ” 字 段 不 是 指 未 分 片 前 的 数据 报 长 度 ， 而 是 指 分 片 后 每 片 的 首部 长 度 与 数据 
长 度 的 总 和 。 

也 就 是 说 人 P 数据 报 的 长 度 一 定 不 能 超过 数据 链 路 层 的 最 大 传送 单元 MTU， 即 下 层 
帧 的 数据 域 的 大 小 。 通 常 以 太 网 的 MTU 为 1500B, PPP 的 MTU 为 296B, FDDI 的 MTU 
为 4352B， 令 牌 环 的 MTU 为 4464B。 图 1-85 说 明了 了 人 P 的 封装 与 分 片 。 
人 P 首 部 | 数据 域 
人 PP 数据 报 
帧 首部 数据 域 帧 尾部 


(a) IP 数据 报 的 长 度 不 大 于 帧 的 数据 域 时 的 封装 


中 首部 下 


了 之 io ~ Se 2840 
PW | | 数据 域 Ti [eww2 [| | 妆 呈 | 
AR 人 | \ AN | 


帧 首部 ] 数据 域 | 


(b) 卫 数据 报 的 长 度 大 于 帧 的 数据 域 时 的 分 片 与 封装 
图 1-85 下 数据 报 的 分 片 与 封装 


1.8.1.2 ”Internet 路 由 协议 
众所周知 ，Internet 是 由 多 个 网 络 互联 在 一 起 的 网 络 ， 当 数据 包 在 这 样 一 个 复杂 的 网 
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络 上 传输 时 , 会 遇 到 很 多 “十 字 路 口 ” 到底 该 向 哪 条 路 由 上 走 , 必须 有 一 个 类 似 “ 交 警 ” 
的 部 件 来 完成 这 一 功能 。 在 Intemet 上 这 一 部 件 就 是 路 由 器 。 而 路 由 器 又 是 依靠 运行 路 
由 协议 来 完成 其 功能 的 。 换 句 话说， 路 由 器 上 的 路 由 表 是 根据 路 由 协议 生成 的 。 路 由 协 
议 的 核心 就 是 路 由 算法 。 

由 于 Intemet 规模 太 大 ， 所 以 常 把 它 划分 成 许多 较 小 的 自治 系统 (AS)。 通 常 把 自治 
系统 内 部 的 路 由 协议 称 为 内 部 网 关 协 议 ， 自 治 系统 之 间 的 协议 称 为 外 部 网 关 协 议 。 常 见 
的 内 部 网 关 协 议 有 RIP 协议 和 OSPF 协议 ;外 部 网 关 协 议 有 BGP 协议 。 

1. 路 由 信息 协议 RIP 

RIP 是 一 种 分 布 式 的 基于 距离 向 量 的 路 由 选择 协议 。 该 协议 定义 距离 就 是 经 过 的 路 
由 器 的 数目 ， 距 离 最 短 的 路 由 就 是 最 好 的 路 由 。 它 允许 一 条 路 径 最 多 只 能 包含 15 个 路 
由 器 (限制 了 网 络 的 规模 )。 距 离 的 最 大 值 为 16 时 即 为 不 可 达 。 所 以 RIP 不 能 在 两 个 
网 络 之 间 同 时 使 用 多 条 路 由 来 进行 负载 均衡 。 

RIP 协议 要 求 网 络 中 的 每 一 个 路 由 器 都 要 维护 从 它 自己 到 其 他 每 一 个 目的 网 络 的 距 
离 记 录 ， 并 依 此 来 形成 自己 的 路 由 表 。 且 按 固定 时 间 (一 般 为 30s) 和 相 邻 路 由 器 交换 
路 由 表 。 

RIP 协议 属于 应 用 层 协议 , 它 使 用 运输 层 的 用 户 数据 报 UDP 进行 传送 。RIP 协议 的 
格式 如 图 1-86 所 示 。 


Tm 4 字 节 "1 
地 址 类 别 路 由 标记 
网 络 地 址 
_ 4 字 节 Rf 子 网 抢 码 
| | 下 一 跳 路 由 器 地 址 
命令 版 本 必 为 0 距离 (1-16) 
’ 1 
ee ~ | 
RIP 首部 路 由 部 分 
本 RIP 报 文 一 | 
1 上 
UDP 首部 
Hy UDP 用 户 数据 报 一 一 一 一 一 一 一 一 一 | 
IP 首 部 
— IP 数 据 报 一 


1-86 RIP 协议 的 格式 及 它 和 UDP、 卫 协议 的 关系 
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RIP 协议 中 的 命令 字段 指出 报 文 的 意义 。 地 址 类 别 字段 指出 所 使 用 的 地 址 协议 ， 当 
使 用 卫 地 址 时 ， 该 字段 的 值 为 2。 路 由 标记 字段 应 该 写 入 自治 系统 号 。 一 个 RIP 报 文 最 
大 长 度 为 504B， 这 是 因为 一 个 RIP 报 文 的 路 由 部 分 最 多 可 包含 25 个 路 由 信息 。 当 超过 
504B 的 最 大 长 度 时 ， 就 应 该 再 用 一 个 RIP 报 文 来 传送 。 

RIP 的 特点 是 :“ 好 消息 传播 得 快 ， 坏 消息 传播 得 慢 ”。 它 的 意思 是 如 果 路 由 器 发 现 
了 一 个 更 短 的 路 由 ， 这 个 消息 可 以 很 快 得 以 传播 : 但 如 果 网 络 出 现 了 故障 ， 这 样 的 消息 
会 传播 得 很 慢 。 

2. 开放 最 短路 径 优 先 协 议 (OSPF) 

OSPF 协议 是 分 布 式 的 链 路 状态 路 由 协议 。 链 路 在 这 里 代表 该 路 由 器 和 哪些 路 由 器 
是 相 邻 的 , 即 通 过 一 个 网 络 是 可 以 连通 的 ; 链 路 状态 说 明了 该 通路 的 连通 状态 以 及 距离 、 
时 延 、 带 宽 等 参数 。 在 该 协议 中 ， 只 有 当 链 路 状态 发 生变 化 时 ， 路 由 器 才 用 洪 泛 法 向 所 
有 路 由 器 发 送 路 由 信息 。 所 发 送 的 信息 是 与 本 路 由 器 相 邻 的 所 有 路 由 器 的 链 路 状态 。 为 
了 保存 这 些 链 路 状态 信息 ， 每 个 路 由 器 都 建立 有 一 个 链 路 状态 数据 库 ， 因 为 路 由 器 交换 
信息 时 使 用 的 是 洪 泛 法 ， 所 以 每 个 路 由 器 都 存 有 全 网 的 链 路 状态 信息 ， 也 就 是 说 每 个 路 
由 器 都 知道 整个 网 络 的 连通 情况 和 拓扑 结构 。 这 样 每 个 路 由 器 都 可 以 根据 链 路 状态 数据 
库 的 信息 来 构造 自己 的 路 由 表 。 

为 了 及 时 了 解 链 路 的 状态 情况 , 每 个 路 由 器 需要 定期 (10s) 向 邻居 路 由 器 发 送 Hello 
分 组 。 如 果 40s 都 还 没有 收 到 邻居 的 Hello 信息 ， 则 认为 该 邻居 是 不 连通 的 ， 应 该 立即 
修改 链 路 状态 数据 库 中 所 对 应 的 记录 ， 并 要 重新 计算 路 由 表 。 

除了 Hello 问候 分 组 外 ，OSPF 协议 还 有 4 种 分 组 : 链 路 状态 更 新 分 组 、 链 路 状态 确 
认 分 组 、 数 据 库 描述 分 组 和 链 路 状态 请 求 分 组 。 通 过 这 4 种 分 组 达到 全 网 链 路 数据 库 的 
同步 。 链 路 状态 更 新 分 组 是 正常 情况 下 ， 当 链 路 状态 发 生变 化 时 使 用 洪 泛 法 所 发 送 的 分 
组 ; 链 路 状态 确认 分 组 是 对 链 路 状态 更 新 分 组 的 确认 ; 链 路 状态 描述 分 组 是 当 路 由 器 启 
动 一 条 新 的 通路 时 ， 向 邻居 路 由 器 所 发 送 的 分 组 ， 链 路 状态 请 求 分 组 是 在 与 邻居 路 由 器 
交换 了 数据 库 描述 分 组 后 ， 还 需要 其 他 自己 缺少 的 路 由 信息 时 所 使 用 的 分 组 。 

OSPF 协议 格式 如 图 1-87 所 示 。 

OSPF 协议 使 用 洪 泛 法 向 网 络 中 所 有 路 由 器 发 送 链 路 状态 信息 为 了 减 小 洪 泛 范围 ， 
OSPF 协议 对 网 络 进行 了 区 域 划 分 。 这 在 OSPF 协议 首部 的 区 域 标识 符 字段 体现 了 出 来 。 

3. 外 部 网 关 协 议 (BGP) 

BGP 是 不 同 自治 系统 的 路 由 器 之 间 交 换 路 由 信息 的 协议 。 由 于 Internet 的 规模 太 大 ， 
使 得 自治 系统 之 间 路 由 选择 非常 困难 。 另 外 ， 对 于 自治 系统 之 间 的 路 由 选择 ， 要 寻找 最 
佳 路 由 很 不 现实 的 。 所 以 BGP 只 是 尽力 寻找 一 条 能 够 到 达 目的 网 络 且 比较 好 的 路 由 (不 
能 兜 圈子 )， 而 不 像 内 部 网 关 协 议 一 样 要 寻找 一 条 最 佳 路 由 。 

每 一 个 自治 系统 的 管理 员 要 选择 至 少 一 个 路 由 器 作为 该 自治 系统 的 “BGP 发 言 人 ”。 
BGP 发 言 人 往往 就 是 BGP 边界 路 由 器 ， 但 也 可 以 不 是 BGP 边界 路 由 器 。 通 常 ， 两 个 
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BGP 发 言 人 都 是 通过 一 个 共享 网 络 连接 在 一 起 的 。 


比特 0 8 16 31 
版 本 | 类 型 | 分 组 长 度 
路 由 器 标识 符 
区 域 标识 符 
校 验 和 鉴别 类 型 
鉴别 
时 鉴别 
OSPF 分 组 首部 类 型 1 至 类 型 5 的 OSPF 分 组 


OSPF 分 组 


OSPF 分 组 


一 IP 数据 报 


1-87 OSPF 协议 的 格式 及 


它 与 下 协议 的 关系 


当 一 个 BGP 发 言 人 与 其 他 自治 系统 中 的 BGP 发 言 人 交换 路 由 信息 时 ， 首 先 要 建立 
TCP 连接 ， 然 后 在 此 连接 上 交换 BGP 报 文 以 建立 BGP 会 话 (session)， 利 用 BGP 会 话 


交换 路 由 信息 。 


在 BGP 刚刚 运行 时 ，BGP 的 邻 站 是 交换 整个 的 BGP 路 由 表 。 但 以 后 只 需要 在 发 
生变 化 时 更 新 有 变化 的 部 分 。 这 样 做 对 节省 网 络 带 宽 和 减少 路 由 器 的 处 理 开销 方面 都 有 


好 处 。 


BGP 发 言 人 互相 交换 网 络 可 达 性 的 信息 后 , 各 BGP 发 言 人 就 可 找 出 到 达 各 自治 系 


统 的 比较 好 的 路 由 。 
BGP-4 共 使 用 4 种 报 文 : 


。 打开 〈open) 报 文 ， 用 来 与 相 邻 的 另 一 个 BGP 发 言 人 建立 关系 。 
。 更 新 (update) 报 文 ， 用 来 发 送 某 一 路 由 的 信息 ， 以 及 列 出 要 撤销 的 多 条 路 由 。 


。 保 活 〈keepalive) 报 文 ， 用 来 确认 打开 报 文 和 周期 性 地 证 实 邻 站 关系 。 


。 通知 Cnotificaton) 报 文 ， 用 来 发 送 检测 到 的 差错 。 


BGP 协议 的 格式 及 它 与 TCP 和 卫 协议 的 关 
4. 组 播 协议 PIM 与 MOSPF 


系 如 图 1-88 所 示 。 


人 P 组 播 路 由 协议 根据 网 络 中 组 播 组 成 员 的 分 布 可 以 分 为 两 种 基本 类 型 : 第 一 种 被 称 


作 密 集 模式 的 组 播 路 由 协议 。 第 二 种 被 称 为 疏松 


模式 的 组 播 路 由 协议 。 
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1) PIM (Protocol-Independent Multicast) 

PIM 是 一 种 组 播 传 输 协议 , 能 在 现存 IP 网 上 传输 组 播 数据 。PIM 是 一 种 独立 于 路 由 
协议 的 组 播 协议 ， 可 以 工作 在 两 种 模式 : 密集 模式 (PIM-DM) 和 玻 松 模式 (PIM-SM)。 
在 PIM 密集 模式 下 ， 报 文 分 组 默认 向 所 有 端口 转发 ， 直 到 发 生 裁 减 和 切除 。 在 密集 模式 
下 假设 所 有 端口 上 的 设备 都 是 组 播 成 员 ， 可 能 使 用 组 播 包 。 玻 松 模式 与 密集 模式 相反 ， 
只 向 有 请 求 的 端口 发 送 组 播 数 据 。 


标记 长 度 类 型 
、 六 
| BGP 报 文 
TCP 首部 BGP 报 文 
[ma 一 TCP 报 文 一 一 一 -| 
IP 首 前 数据 部 分 
一 并 数据 报 一 


图 1-88 ”BGP 协议 的 格式 及 它 与 TCP 和 也 协议 的 关系 


。 PIM-SM (Protocol Independent Multicast Sparse Mode) 

PIM-SM 围绕 一 个 被 称 为 集中 点 〈(RP) 的 路 由 器 构建 组 播 分 布 树 。RP 是 所 有 叶 路 
由 器 都 知道 的 点 。 但 某 个 叶 路 由 器 直接 相连 的 网 络 中 如 果 有 主机 希望 加 入 某 RP 所 代表 
的 组 播 组 时 , 该 叶 路 由 器 沿 着 到 达 RP 的 最 短路 径 向 RP 发 出 加 入 消息 , 所 经 过 的 路 径 构 
成 基于 RP 的 单 向 生成 树 的 一 个 新 枝 。 一 旦 形成 新 枝 ， 叶 路 由 器 将 获得 该 组 播 组 源 的 信 
息 。 当 某 个 源 发 出 的 信息 速率 超过 某 个 门限 ， 则 叶 路 由 器 可 以 切换 至 基于 源 的 最 短路 径 
树 上 去 ， 当 然 叶 路 由 器 要 向 RP 方向 发 出 前 枝 消息 。 

PIM-SM 协议 最 初 先 为 组 播 组 构建 一 个 组 共享 树 。 这 个 树 由 连接 到 集中 点 的 发 送 者 
和 接收 者 共同 构建 , 就 像 CBT 协议 围绕 着 核心 路 由 器 构建 的 共享 树 一 样 。 共 享 树 建立 以 
后 ， 一 个 接受 者 (实际 上 是 最 接近 这 个 接收 者 的 路 由 器 〉 可 以 选择 通过 最 短路 径 树 改变 
到 发 送 源 的 连接 。 这 个 操作 过 程 是 通过 向 发 送 源 发 送 一 个 PIM 加 入 请 求 完成 的 。 一 旦 从 
发 送 源 到 接收 者 的 最 短路 径 建 立 了 ， 通 过 RP 的 外 部 分 枝 就 被 修剪 掉 了 。PIM-SM 结构 
同时 支持 共享 树 和 最 短路 径 树 这 两 种 分 布 树 。 
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。 PIM-DM (Protocol-Independent Multicast-Dense Mode) 

PIM-DM 协议 使 用 了 反 向 路 径 组 播 机 制 来 构建 分 布 树 。PIM-DM 的 运作 方式 是 当 源 
端 送出 组 播 信息 时 ， 它 会 使 用 先 扩 散 再 截 枝 的 方式 来 建立 分 散 树 ， 路 由 器 某 个 接收 端口 
接收 到 的 组 播 数据 包 被 发 送 到 所 有 下 行 接口 。 当 末端 路 由 器 收 到 这 个 组 播 消息 后 ， 如 果 
该 路 由 器 没有 属于 这 个 群 组 的 成 员 ， 这 个 路 由 器 就 会 向 上 游 发 出 截 枝 的 消息 ， 而 上 游 路 
由 器 收 到 这 个 消息 时 ， 如 果 该 路 由 器 也 没有 属于 这 个 群 组 的 成 员 ， 那 么 这 个 路 由 器 又 会 
向 上 游 传送 ;反之 如 果 该 路 由 器 有 属于 该 群 组 的 成 员 ， 那 么 这 个 截 枝 的 信息 就 不 会 再 往 
上 游 传送 ， 而 这 个 路 由 器 就 不 会 再 把 组 播 的 资料 送 到 这 个 路 径 上 面 去 了 。 

2) MOSPF (Multicast Open Shortest Path First) 

MOSPF 是 为 单 播 路 由 组 播 使 用 设计 的 ， 属 于 密集 模式 的 组 播 路 由 协议 。MOSPF 依 
束 于 OSPF 作为 单 播 路 由 协议 , 在 一 个 OSPF/MOSPF 网 络 中 每 个 路 由 器 都 维持 一 个 最 新 
的 全 网 络 拓扑 结构 图 。 这 个 “ 链 路 状态 ”信息 被 用 来 构建 组 播 分 布 树 。 每 个 MOSPF 路 
由 器 都 通过 IGMP 协议 周期 性 的 收集 组 播 组 成 员 关 系 信息 。 这 些 信息 和 这 些 链 路 状态 信 
息 被 发 送 到 其 路 由 域 中 的 所 有 其 他 路 由 器 。 路 由 器 将 根据 它们 从 临近 路 由 器 接收 到 的 信 
息 更 新 其 内 部 连接 状态 信息 。 由 于 每 个 路 由 器 都 清楚 整个 网 络 的 拓扑 结构 ， 所 以 能 够 独 
立地 计算 出 一 个 最 小 开销 扩展 树 ， 将 组 播发 送 源 和 组 播 组 成 员 分 别 作为 树 的 根 和 叶 。 这 
个 树 就 是 用 来 将 组 播 流 从 发 送 源 发 送 到 组 播 组 成 员 的 路 径 。 


1.8.1.3 ”地 址 解析 协议 “ARP) 与 反 向 地 址 解析 协议 (RARP) 


网 络 中 的 一 个 机 器 既 有 逮 辑 地 址 也 有 物理 地 址 。 逻 辑 地址 是 为 了 管理 方便 而 设置 
的 ， 就 像 一 个 学 生 的 学 号 ， 在 小 学 有 一 个 学 号 ， 在 初中 、 高 中 和 大 学 也 各 有 不 同 的 学 号 。 
而 物理 地 址 就 像 一 个 人 的 姓名 是 与 生 俱 来 的 ， 对 一 个 机 器 来 说 ， 如 果 不 换 网 卡 那么 它 永 
远 就 是 网 卡 上 那个 地 址 。 逻 辑 地 址 是 网 络 层 的 协议 数据 单元 使 用 的 地 址 ， 物 理 地 址 是 数 
据 链 路 层 的 协议 数据 单元 MAC 帧 使 用 的 地 址 。 

1. ARP 协议 

在 通常 情况 下 ， 当 我 们 访问 一 个 机 器 的 时 候 一 定 可 以 知道 它 的 逻辑 地 址 ， 而 物理 地 
址 就 不 一 定 知道 。 如 果 不 知道 物理 地 址 那么 就 不 能 把 网 络 层 的 数据 包 封装 成 MAC 帧 ， 
完 不 成 通信 。ARP 协议 正 是 为 了 解决 这 个 问题 而 设置 的 。 

在 每 台 主 机 上 ，ARP 协议 都 设置 有 一 个 IP 地 址 和 硬件 地 址 对 应 关系 的 高 速 缓存 。 
当 网 络 层 的 数据 报 要 封装 成 MAC 帧 时 ， 首 先 在 高 速 缓存 中 查看 有 无 该 数据 报 首部 的 目 
的 地 址 所 对 应 的 硬件 地 址 ， 若 有 ， 则 将 该 硬件 地 址 写 入 MAC 帧 的 目的 地 址 中 ， 完 成 数 
据 报 的 封装 。 若 无 ，ARP 协议 则 在 本 局 域 网 上 广播 发 出 一 个 ARP 请 求 分 组 ， 格 式 如 图 
1-88 所 示 。 在 ARP 请 求 分 组 中 ， 发 送 方 的 他 地 址 和 发 送 方 硬件 地 址 ， 以 及 目标 IP 地 址 
都 是 应 该 写 入 已 知 的 数据 ， 要 寻找 的 目标 硬件 地 址 写 入 全 0。 当 该 请 求 分 组 到 达 每 一 个 
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机 器 上 时 ， 每 一 台 机 器 都 要 拿 自己 的 IP 地 址 和 请 求 分 组 中 的 目标 卫 地 址 进行 比较 ， 如 
果 不 同 则 不 做 任何 动作 ; 若 相同 则 发 送 一 个 ARP 相应 分 组 给 请 求 方 。ARP 相应 分 组 的 
格式 同样 还 是 和 图 1-88 一 样 。 在 相应 分 组 中 发 送 方 写 明了 自己 的 硬件 地 址 。 当 这 一 通信 
过 程 完 成 时 ， 通 信 双 方 都 要 对 自己 的 ARP 高 速 缓存 进行 修改 ， 添 加 上 一 条 记录 。 

ARP 协议 的 数据 格式 如 图 1-89 所 示 。 

位 0 16 31 
硬件 类 型 
| 硬件 地 址 长 度 | ”协议 长 度 
| 发 送 方 MAC 地 址 (8 位 组 0~3) 
发 送 方 MAC 地 址 (8 位 组 4~5) 发 送 方 PP 地 址 (8 位 组 0~1) | | 

发 送 方 瑟 地 址 (8 位 组 ?~3) | 目标 MAC 地址 (s 位 组 0o~D | | 


图 1-89 ARP 报 文 的 格式 


。 硬件 类 型 : 发 送 方 想 知道 的 硬件 接口 类 型 ， 以 太 网 的 值 为 1。 
。 协议 类 型 : 发 送 方 提供 的 高 层 协议 地 址 类 型 ， 卫 地 址 为 080616 。 
。 操作: ARP 请 求 (1)，ARP 响应 (2)，RARP 请 求 (3)，RARP 响应 〈4)。 
。 协议 长 度 : 高 层 协议 地 址 长 度 。 
。 发 送 方 MAC 地 址 : 发 送 方 硬件 地 址 。 
目标 MAC 地 址 : 接收 方 硬 件 地 址 。 

2. RARP 协议 

RARP 协议 往往 用 于 无 盘 工 作 站 环境 。 因 为 主机 没有 外 存 ， 本 地 不 能 存放 IP 地 址 ， 
所 以 需要 一 个 RARP 服务 器 来 存放 卫 地 址 和 硬件 地 址 的 对 应 关系 。 当 一 台 主 机 想 要 
上 Intemet 时 ， 它 需要 用 自己 网 卡 上 的 硬件 地 址 到 RARP 服务 器 上 取 回 自己 的 他 地 址 。 
RARP 协议 的 格式 和 ARP 协议 的 格式 一 样 。 


1.8.1.4 ”Internet 控制 报 文 协议 (ICMP) 


ICMP 协议 允许 路 由 器 报告 差错 情况 和 提供 有 关 异 常情 况 的 报告 。 当 数据 报 不 能 正 
确 到 达 目 的 站 点 ， 或 当 路 由 器 没有 足够 的 缓存 空间 ， 或 当 路 由 器 能 够 向 主机 提供 更 短 的 
路 由 时 ，ICMP 协议 会 及 时 将 这 些 信息 发 送出 去 ， 就 像 网 上 的 “交通 警察 ”及 时 解决 交 
通 中 的 问题 和 “事故 ” 保证 交通 快速 、 顺 畅 。 

ICMP 报 文 有 ICMP 差错 报 文 和 ICMP 询问 报 文 两 种 。 

ICMP 报 文 格式 及 它 与 IP 的 关系 如 图 1-90 所 示 。 

表 1-8 给 出 了 几 种 常用 的 ICMP 报 文 类 型 。 


操作 


第 1 章 ， 计 算 机 网 络 原理 153 


类 型 “| 代码 校 验 和 
参数 
ES | 数据 部 分 
= ICMP 报 文 -| 
IP 数据 报 | 数据 部 分 
- 下 数据 报 - 
1-90 ”ICMP 报 文 格式 及 它 与 IP 的 关系 
表 1-8 几 种 ICMP 报 文 及 功能 
ICMP 报 文 类 型 | 类 型 的 值 | ICMP 报 文 的 类 型 功 能 
lS 当 路 由 器 不 能 把 数据 报 转交 给 目的 站 时 ， 就 
向 源 站 发 送 终点 不 可 达 报 文 
当 路 由 器 由 于 拥塞 而 丢弃 数据 报时 ， 就 向 源 
4 源 站 抑制 站 发 送 源 站 抑制 报 文 ， 使 源 站 放 慢 数据 报 的 
发 送 速度 
当 路 由 器 发 现 主机 可 以 把 数据 报 发 送 给 另外 
5 改变 路 由 一 个 路 由 器 ， 使 数据 报 沿 着 更 短 更 好 的 路 由 
差错 报告 报 文 被 转发 
当 路 由 器 收 到 一 个 卫 数据 报时 ， 发 现 它 的 生 
i 时 间 超 时 存 时 间 为 0， 或 主机 在 预订 的 时 间 内 无 法 完 
成 数据 报 的 重 装 ， 则 向 源 站 发 送 时 间 超 时 
报 文 
当 路 由 器 或 目的 站 发 现 收 到 的 数据 报 首部 字 
12 参数 问题 段 中 有 不 正确 的 字段 时 ， 就 向 源 站 点 发 送 参 
数 问题 报 文 
当 需 要 测试 某 一 目的 站 点 是 否 可 达 时 ， 就 发 
8 或 10 回 送 请 求 或 回答 送 一 个 ICMP 回 送 请 求 报 文 ， 然 后 目的 站 点 
会 向 发 送 站 回 送 一 个 ICMP 回答 报 文 
询问 报 文 当 需 每 个 路 由 器 或 主机 给 出 当前 的 日 期 和 时 
间 时 ， 就 发 送 时 间 戳 请 求 报 文 ， 然 后 被 请 求 
13 或 14 时 间 惟 请求 或 回答 | 方 会 回 送 一 个 时 间 戳 回答 报 文 ， 告 知 自 己 当 
前 的 日 期 和 时 间 。 这 样 可 以 用 来 测试 通信 
延迟 
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1.8.1.5 ”IPvV6 协议 


JPv6 协议 的 特点 
更 大 的 地 址 空间 。IPv6 将 地 址 从 IPv4 的 32bit 增 大 到 了 128bit。 
扩展 的 地 址 层次 结构 。 
灵活 的 首部 格式 。 
改进 的 选项 。 
增强 安全 性 。 
对 QoS 支持 。 
IPv6 地 址 
IPv6 地 址 格式 如 图 1-91 所 示 。 


iee ee ee 0。 ee ~ 


128bit -| 


一 长 度 可 变 -- 长 度 可 变 | 


类 型 前 级 | 地 址 的 其 他 部 分 


图 1-91 IPv6 地 址 格式 


IPv6 将 128bit 地 址 空间 分 为 两 大 部 分 。 第 一 部 分 是 可 变 长 度 的 类 型 前 级 , 它 定义 了 
地 址 的 目的 。 第 二 部 分 是 地 址 的 其 余部 分 ， 其 长 度 也 是 可 变 的 。 

每 个 16bit 的 值 用 十 六 进 制 值 表示 ， 各 值 之 间 用 冒号 分 隔 。 

IPv6 数据 报 的 目的 地 址 可 以 是 以 下 三 种 基本 类 型 地 址 之 一 : 

。 单 播 (unicast): 单 播 就 是 传统 的 点 对 点 通信 。 

。 多 播 (multicast): 多 播 是 一 点 对 多 点 的 通信 。 

。 任 播 anycast): 这 是 IPv6 增加 的 一 种 类 型 。 任 播 的 目的 站 是 一 组 计算 机 ， 但 

数据 报 在 交付 时 只 交付 给 其 中 的 一 个 ， 通 常 是 距离 最 近 的 一 个 。 

前 缀 为 0000 0000 是 保留 一 小 部 分 地 址 与 IPv4 兼容 的 ， 这 是 因为 必须 要 考虑 到 在 
比较 长 的 时 期 Pv4 和 IPv6 将 会 同时 存在 ， 而 有 的 节点 不 支持 IPv6。 

IPv6 扩展 了 地 址 的 分 级 概念 ， 使 用 以 下 三 个 等 级 : 

。 第 一 级 (顶级 )， 指 明 全 球 都 知道 的 公共 拓扑 。 

。 第 二 级 (地 点 级 )， 指 明 单个 的 地 点 。 

。 第 三 级 ， 指 明 单 个 的 网 络 接口 。 

3. JPv6 包 格 式 

IPv6 数据 包 格 式 如 图 1-92 所 示 。 
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比特 0 4 12 16 24 31 
版 本 通信 量 类 流标 号 
有 效 载荷 长 度 下 一 个 报头 跳 数 限制 
源 地 址 
IPv6 的 (128bit) 
基本 首部 
(40B) 
目的 地 址 
(128bit) 
扩展 首部 /数据 
IPv6 的 
有 效 载荷 
(至 64 KB) 


图 1-92 ”IPv6 数据 包 格 式 


(1) 对 IPv6 基本 报头 各 域 的 说 明 如 下 。 

。 版 本 (version): 4bit， 它 指明 了 协议 的 版 本 ， 对 IPv6 该 字段 总 是 6。 

。 通信 量 类 (Traffic Class): 8bit， 这 是 为 了 区 分 不 同 的 IPv6 数据 报 的 类 别 或 优 

先 级 。 

流标 号 〈Flow Label): 20bit， 用 于 源 节 点 标识 IPv6 路 由 器 需要 特殊 处 理 的 包 序列 。 

载荷 长 度 (Payload Length): 16bit， 它 指明 IPv6 数据 报 除 基本 首部 以 外 的 字 节 

数 〈 所 有 扩展 首部 都 算 在 有 效 载荷 之 内 )， 其 最 大 值 是 64KB 。 

下 一 个 报头 (Next Head): 8bit。 它 相当 于 IPv4 的 协议 字段 或 可 选 字段 。 

。 跳 数 限制 (Hop Limit): 8bit。 源 站 在 数据 报 发 出 时 即 设 定 跳 数 限制 。 路 由 器 在 转 
发 数据 报时 将 跳 数 限制 字段 中 的 值 减 1。 当 跳 数 限 制 的 值 为 0 时 ， 就 要 将 此 数据 
报 丢 弃 。 

。 源 地 址 (Source Address): 128bit， 指 明生 成 数据 包 的 主机 的 IPv6 地 址 。 

。 目的 地 址 (Destination Address): 128bit， 指 明 数 据 包 的 最 终 要 到 达 的 目的 主机 的 
IPv6 地 址 。 

(2) IPv6 的 扩展 首部 。 

IPv6 将 原来 IPv4 首部 中 选项 的 功能 都 放 在 扩展 首部 中 ， 并 将 扩展 首部 留 给 路 径 两 
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端的 源 站 和 目的 站 的 主机 来 处 理 。 数 据 报 途中 经 过 的 路 由 器 都 不 处 理 这 些 扩展 首部 〈 只 
有 一 个 首部 例外 ， 即 逐 跳 选项 扩展 首部 )。 这 样 就 大 大 提高 了 路 由 器 的 处 理 效率 。 

在 [RFC 2460] 中 定义 了 6 种 扩展 首部 。 

。 逐 跳 选项 :此 扩展 头 必须 紧 跟 在 IPv6 基本 报头 之 后 ， 它 包含 所 经 路 径 上 的 每 一 
个 节点 都 必须 检查 的 选项 数据 。 由 于 它 需 要 在 每 个 中 间 路 由 器 都 进行 处 理 ， 所 以 
只 有 在 绝对 必要 的 时 候 才 出 现 。 
路 由 选择 : 此 扩展 头 指明 数据 包 在 到 达 目 的 地 途中 将 经 过 地 各 节点 的 地 址 列表 。 
分 片 : 当 IPv6 源 地 址 发 送 的 数据 包 比 到 达 目 的 地 址 所 经 过 的 路 径 上 的 最 小 MTU 
还 要 大 时 ， 这 个 数据 包 就 要 被 分 成 几 段 分 别 发 送 ， 这 时 就 要 用 到 分 片头 。 
。 鉴别 : 鉴别 头 的 功能 是 实现 了 数据 的 完整 性 和 对 数据 来 源 的 认证 。 
封装 安全 有 效 载荷 : 封装 安全 有 效 载荷 头 提 供 数据 加 密 功 能 , 实现 端 到 端的 加 密 ， 
提供 无 连接 的 完整 性 和 防 重 发 服务 。 封 装 安全 载荷 头 可 以 单独 使 用 ， 也 可 以 在 使 
用 隧道 模式 时 嵌 套 使 用 。 

。 目的 站 选项 : 目的 站 选项 头 中 携带 仅 需 要 有 最 终 目 的 节点 检验 的 可 选 信息 。 它 要 

在 IPv6 目的 地 址 域 所 列 的 第 一 个 目的 主机 上 处 理 ， 也 要 在 路 由 头 所 列 的 后 续 目 
的 主机 上 处 理 。 

4. IPv6 地 址 自动 配置 

IPv6 中 地 址 自动 配置 有 两 种 方式 : 有 状态 地 址 自动 配置 和 无 状态 自动 配置 ， 当 站 点 
并 不 是 特别 关心 主机 所 使 用 的 精确 地 址 时 ， 只 要 它们 是 唯一 的 ， 并 且 是 可 路 由 的 ， 就 能 
使 用 无 状态 方式 ， 当 站 点 严格 控制 地 址 分 配 时 ， 就 使 用 有 状态 方式 。 

1) 有 状态 自动 配置 

在 这 种 模式 下 ， 主 机 可 以 从 服务 器 获得 接口 地 址 ， 也 可 以 从 服务 器 上 获得 配置 信息 
和 参数 。 服 务 器 中 维护 着 一 个 数据 库 ， 其 中 记录 着 主机 和 地 址 分 配 的 列表 。 比 较 常用 的 
是 DHCPv6 (Dynamic Host Configuration Protocol for IPv6) 协议 ， 即 支持 IPv6 的 动态 主 
机 配置 协议 。 它 允许 DHCPv6 服务 器 把 诸如 IPv6 网络 地 址 等 信息 传 给 IPv6 节 点 .DHCPV6 
服务 器 与 客户 端 使 用 UDP 来 交换 DHCPv6 报 文 。 服 务 器 和 中 继 代理 使 用 UDP 端口 547 
来 监听 DHCPv6 报 文 ; 客户 端 使 用 UDP 端口 546 来 监听 报 文 。 

2) 无 状态 地 址 自动 配置 

无 状态 自动 配置 要 求 本 地 链 路 支持 组 播 。 而 且 网 络 接口 能 够 发 送 和 接收 组 播 包 。 采 
用 这 种 方式 可 以 为 任意 主机 配置 一 个 IPv6 地 址 ,这 个 地 址 内 嵌 一 个 以 太 网 地 址 ， 由 于 以 
太 网 地 址 全 球 唯一 ， 因 此 获得 的 IPv6 地 址 也 是 唯一 的 。 

具体 过 程 如 下 : 

首先 ， 进 行 自动 配置 的 节点 必须 确定 自己 的 链 路 本 地 地 址 。 

然后 ， 必 须 验证 该 链 路 本 地 地 址 在 链 路 上 的 唯一 性 。 

最 后 ， 节 点 必须 确定 需要 配置 的 信息 。 该 信息 可 能 是 节点 的 卫 地 址 , 或 者 是 其 他 配 
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置信 息 ， 或 者 两 者 省 有 。 具 体 地 说 ， 在 无 状态 自动 配置 过 程 中 ， 主 机 首先 通过 将 它 的 网 
卡 MAC 地 址 附加 在 链 路 本 地 地 址 前 级 1111111010 之 后 ， 产 生 一 个 链 路 本 地 单 播 地 址 
(IEEE 已 经 将 网 卡 MAC 地 址 由 48 位 改 为 了 64 位。 如 果 主 机 采用 的 网 卡 的 MAC 地 址 依 
然 是 48 位 ， 那 么 IPv6 网 卡 驱动 程序 会 根据 IEEE 的 一 个 公式 将 48 位 MAC 地 址 转换 为 
64 位 MAC 地 址 )。 接 着 主机 向 该 地 址 发 出 一 个 邻居 发 现 请 求 (neighbor discovery request)， 
以 验证 地 址 的 唯一 性 。 如 果 请 求 没有 得 到 响应 ， 则 表明 主机 自我 配置 的 链 路 本 地 单 播 地 
址 是 唯一 的 。 否 则 ， 主 机 将 使 用 一 个 随机 产生 的 接口 ID 组 成 一 个 新 的 链 路 本 地 单 播 地 
址 。 然 后 ， 以 该 地 址 为 源 地 址 ， 主 机 向 本 地 链 路 中 所 有 路 由 器 多 点 传送 一 个 路 由 器 请 求 
(router solicitation) 来 请 求 配 置信 息 ， 路 由 器 以 一 个 包含 一 个 可 聚集 全 球 单 播 地 址 前 绥 
和 其 他 相关 配置 信息 的 路 由 器 宣告 (router advertisement) 作为 响应 。 主 机 用 它 从 路 由 器 
得 到 的 全 球 地 址 前 缀 加 上 自己 的 接口 ID， 自 动 配置 全 球 地 址 ， 然 后 就 可 以 与 Intemet 中 
的 其 他 主机 通信 了 。 

如 果 本 地 网 络 孤 立 于 其 他 网 络 ， 则 节点 必须 寻找 配置 服务 器 来 完成 其 配置 ， 否 则 ， 
节点 必须 侦 听 路 由 器 宣告 报 文 。 这 些 报 文 周期 性 地 发 往 所 有 主机 的 组 播 地 址 ， 以 指明 诸 
如 网 络 地 址 和 子 网 地 址 等 配置 信息 。 节 点 可 以 等 待 路 由 器 宣告 ， 也 可 以 通过 发 送 组 播 请 
求 给 所 有 路 由 器 的 组 播 地 址 来 请 求 路 由 器 发 送 宣告 。 一 旦 收 到 路 由 器 的 响应 ， 节 点 就 可 
以 使 用 响应 的 信息 来 完成 自动 配置 。 

S. 邻 节 点 发 现 过 程 

邻居 发 现 协议 使 用 一 系列 的 IPv6 控制 信息 报 文 来 实现 相 邻 节点 的 信息 交互 管理 , 并 
在 一 个 子 网 中 保持 网 络 层 地 址 和 链 路 层 地 址 之 间 的 映射 。 邻 居 发 现 协议 中 定义 了 5 种 类 
型 的 信息 : 路 由 器 宣告 、 路 由 器 请 求 、 路 由 重 定向 、 邻 居 请 求 和 邻居 宣告 。 

。 路 由 器 发 现 : 即 帮 助 主机 来 识别 本 地 路 由 器 。 

。 前 组 发 现 : 节点 使 用 此 机 制 来 确定 指明 链 路 本 地 地 址 的 地 址 前 缀 以 及 必须 发 送 给 
路 由 器 转发 的 地 址 前 级 。 
参数 发 现 ， 帮助 节点 确定 诸如 本 地 链 路 MTU 之 类 的 信息 。 

地 址 自动 配置 : 用 于 IPv6 节点 自动 配置 。 

地 址 解析 : 替代 了 ARP 和 RARP， 帮 助 节点 从 目的 了 P 地 址 中 确定 本 地 节点 〈 即 

邻居 ) 的 链 路 层 地 址 。 

。 下 一 跳 确 定 : 可 用 于 确定 包 的 下 一 个 目的 地 ， 即 可 确定 包 的 目的 地 是 否 在 本 地 链 

路 上 。 如 果 在 本 地 链 路 ， 下 一 跳 就 是 目的 地 ;否则 ， 包 需要 选 路 ， 下 一 跳 就 是 路 

由 器 ， 邻 居 发 现 可 用 于 确定 应 使 用 的 路 由 器 。 

邻居 不 可 达 检 测 : 帮助 节点 确定 邻居 《目的 节点 或 路 由 器 ) 是 否 可 达 。 

重复 地 址 检测 : 帮助 节点 确定 它 想 使 用 的 地 址 在 本 地 链 路 上 是 否 已 被 占用 。 

。 重 定向 : 有 时 节点 选择 的 转发 路 由 器 对 于 待 转发 的 包 而 言 并 非 最 佳 。 这 种 情况 下 ， 
该 转发 路 由 器 可 以 对 节点 进行 重 定向 ， 使 它 将 包 发 送 给 更 佳 的 路 由 器 。 


. 
a 
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1.8.1.6 ”IPv4 向 IPv6 的 过 渡 


在 IPv4 向 IPv6 过 渡 时 ， 只 能 采用 逐步 演进 的 办 法 ， 整 个 过 渡 需 要 一 个 比较 漫长 的 
过 程 。 在 过 渡 期 间 , 由 于 IPv4 和 IPv6 在 很 长 一 段 时 期 内 会 共存 , 因此 很 有 必要 解决 IPv4 
和 IPv6 之 间 相 互通 信 的 问题 。 

目前 IPv4/IPv6 过 渡 技术 主要 有 三 种 方案 : 隧道 技术 、 双 协议 栈 技术 和 地 址 协议 转 
换 (NAT-PT)。 

1. 双 协 议 栈 

双 协 议 栈 (dual stack) 是 指 在 完全 过 渡 到 IPv6 之 前 ， 使 一 部 分 主机 (或 路 由 器 》 
装 有 IPv4 和 IPv6 两 个 协议 栈 ， 如 图 1-93 所 示 。 


IPv4 IPv4/IPv6 双 协 议 栈 IPv6 


应 用 层 有 上 应 用 层 上 有 应 用 层 


TCP 或 UDP TCP 或 UDP TCP 或 UDP 
人 


数据 链 路 层 数据 链 路 层 数据 链 路 层 
物理 层 物理 层 物理 层 


和 IPv4 通信 和 IPv6 通信 
图 1-93 ”使 用 双 协 议 栈 从 IPv4 到 IPv6 过 渡 


对 于 主机 而 言 ， 双 协议 栈 是 指 其 可 以 根据 需要 来 对 上 层 协议 所 产生 的 数据 进行 IPv4 
封装 或 者 IPv6 封装 。 

对 于 路 由 器 而 言 ， 分 别 支持 独立 的 IPv6 和 IPv4 路 由 协议 , IPv4 和 IPv6 路 由 信息 按 
照 各 自 的 路 由 协议 进行 计算 ， 维 护 两 张 不 同 的 路 由 表 。 

2. 隧道 技术 

隧道 策略 是 IPv4/IPv6 过 渡 中 经 常 使 用 到 的 一 种 机 制 (如 图 1-94 所 示 )。 隧道 技术 的 
工作 机 理 就 在 IPv6 网 络 与 IPv4 网 络 间 的 隧道 入 口 处 , 路 由 器 将 IPv6 的 数据 分 组 封装 入 
IPv4 中 ，IPv4 分 组 的 源 地 址 和 目的 地 址 分 别 是 隧道 入 口 和 出 口 的 IPv4 地 址 。 在 隧道 的 
出 口 处 再 将 IPv6 分 组 取出 转发 给 目的 节点 。 隧 道 技 术 巧 妙 地 利用 了 现 有 的 IPv4 网 络 ， 
为 分 离 的 IPv6 子 网 (或 主机 ) 提供 了 有 效 的 通信 手段 。 隧道 技术 能 够 充分 利用 现 有 的 网 
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络 投资 ， 因 此 在 过 渡 初 期 是 一 种 简单 方便 的 选择 。 但 是 ， 在 隧道 的 入 口 处 会 出 现 负载 协 
议 数 据 包 的 拆 分 ， 在 隧道 出 口 处 会 出 现 负载 协议 数据 包 的 重组 。 这 就 增加 了 隧道 出 入 口 
的 实现 复杂 度 ， 不 利于 大 规模 的 应 用 。 并 且 隧 道 技术 只 能 够 实现 IPv6 与 Pv6 之 间 的 通 
信 ， 不 能 够 解决 Pv6 和 IPv4 之 间 的 互通 问题 。 


| 数据 部 分 


Pv 要 锯 报 


图 1-94 使 用 隧道 技术 从 IPv4 到 IPv6 过 渡 


3. NATPT 

NAT-PT〔 网 络 地址 转换 -协议 转换 ) 包括 两 个 组 成 部 分 : 网 络 地 址 转换 协议 和 协议 
转换 。 其 中 地 址 转换 是 指 通过 使 用 NAT 网 关 将 一 种 人 PP 网 络 的 地 址 转换 为 另 一 种 卫 网 络 
的 地 址 ， 它 允许 内 部 网 络 使 用 一 组 在 公 网 中 从 不 使 用 的 保留 地 址 。 在 使 用 这 项 技术 时 可 
以 将 IPv6 网 视 为 一 个 独立 而 封闭 的 局 域 网 ， 它 需要 使 用 一 个 地 址 翻译 器 进行 地 址 翻译 。 

协议 转换 是 指 根 据 IPv6 和 IPv4 之 间 的 差异 对 数据 包 的 首部 做 相应 的 修改 以 符合 对 
方 网 络 的 格式 要 求 ， 并 且 由 于 网 络 层 协议 的 改变 要 对 上 层 的 TCP， UDP，ICMP 等 数据 
包 做 相应 的 修改 。 将 网 络 地 址 转换 机 制 与 协议 转换 机 制 相 结合 而 产生 的 NAT-PT 可 以 通 
过 对 协议 、 地 址 的 转换 实现 IPv6 和 IPv4 之 间 的 相互 通信 。 

NAT-PT 的 优点 是 所 有 的 地 址 转换 和 协议 转换 都 在 NAT-PT 服务 器 上 完成 , 而 子 网 内 
部 的 主机 不 需要 做 任何 改动 ， 就 可 以 实现 两 个 不 同 子 网 之 间 的 相互 访问 。 同 样 由 于 所 有 
的 耳 数 据 包 都 要 在 NAT-PT 服务 器 上 做 数据 包 的 修改 , 使 得 它们 常常 会 破坏 端 到 端 服务 
(如 端 到 端的 卫 安全 )， 这 一 点 和 IPv4 中 的 NAT 类 似 。 同 时 ， 翻 译 器 还 会 造成 网 络 潜在 
的 单 故障 点 。 同 时 NAT-PT 实现 起 来 比较 复杂 ， 牵 涉 到 如 何 简 单 快 速 地 实现 网 络 地 址 和 
端口 分 配 及 数据 包 的 快速 修改 。 由 于 有 大 量 的 数据 包 在 NAT-PT 服务 器 上 处 理 ， 因 此 
NAT-PT 服务 器 的 处 理 能 力 成 为 两 个 网 络 之 间 通 信 的 瓶颈 。 


1.8.1.7 移动 IP 协议 


1. 移动 IP 技术 的 功能 实体 
移动 P 定义 了 三 个 功能 实体 : 移动 节点 、 归 属 代理 和 外 区 代理 。 


160 网 络 规划 设计 师 教 程 


。 移动 节点 (Mobile Node，MN): 当 节 点 从 一 条 链 路 切换 到 另 一 条 链 路 上 时 仍 能 
保持 所 有 正在 进行 通信 的 移动 主机 。 它 有 两 个 IP 地 址 : 一 个 是 归属 地 址 (home 
address)， 用 来 标识 TCP 连接 的 永久 地 址 ; 另 一 个 是 转交 地 址 (Care of Address， 
CoA)， 是 当 移 动 节 点 漫游 到 其 他 子 网 时 所 获得 的 供 IP 包 选 路 使 用 的 临时 地 址 。 
转交 地 址 可 以 由 外 地 代理 提供 ， 称 为 代理 转交 地 址 (agent CoA)， 也 可 以 由 外 地 
网 络 的 DHCP 服务 器 分 配 ， 称 为 配置 转交 地 址 (Collocated CoA，CCoA)。 两 种 
地 址 的 不 同 在 于 后 者 是 一 个 “真实 ”的 转交 地 址 , 而 前 者 是 代理 的 某 个 接口 地 址 。 
归属 代理 (Home Agent，HA): 移动 节点 本 地 网 络 上 的 路 由 器 。 它 有 一 个 端口 与 
移动 节点 家 乡 链 路 相连 ， 同 时 保存 移动 节点 的 位 置信 息 。 当 移动 节点 离开 归属 网 
络 时 ， 它 能 够 将 发 往 移动 节点 的 数据 包 传 给 移动 节点 。 归 属 代理 广播 对 移动 节点 
家 乡 地 址 的 可 达 性 ， 从 而 吸引 那些 送 往 移 动 节点 归属 地 址 的 IP 数据 包 ， 接 着 它 
将 解析 送 往 移动 节点 的 归属 地 址 的 数据 包 ， 并 将 它们 通过 隧道 技术 传送 到 移动 节 
点 的 转交 地 址 上 。 

外 区 代理 〈Foreign Agent，FA): 移动 节点 当前 连接 到 的 外 地 网 络 上 的 路 由 器 。 
其 作用 是 为 移动 节点 提供 路 由 服务 ， 并 且 对 经 归属 代理 封装 后 发 给 移动 节点 的 数 
据 包 进 行 解 封装 ， 然 后 转发 给 移动 节点 。 

2. 移动 IP 技术 的 工作 机 制 

移动 IP 的 工作 过 程 如 下 : 

@ 归属 代理 和 外 区 代理 周期 性 发 送 组 播 或 广播 报 文 ， 以 此 向 它们 所 在 的 网 络 中 的 
节点 通告 它们 的 存在 。 

@ 移动 节点 收 到 广播 报 文 后 ， 检 查 报 文 的 内 容 来 判断 它 所 连接 的 是 归属 网 络 还 是 
外 地 网 络 。 当 连 在 归属 网 络 上 时 ， 采 用 传统 的 人 P 通信 方式 而 不 使 用 移动 IP 的 功能 。 如 
果 是 从 外 地 网 络 重新 返回 的 ， 则 向 本 地 代理 发 出 取消 注册 的 功能 消息 ， 声 明 自 己 回 到 了 
本 地 网 。 

@ 当 移 动 节点 移动 到 外 地 网 络 时 ， 它 可 以 从 当前 网 络 的 外 区 代理 发 出 的 代理 广播 
消息 中 获得 转交 地 址 ， 或 者 通过 DHCP 服务 器 配置 获得 。 

图 移动 节点 通过 外 区 代理 向 归属 代理 注册 转交 地 址 ， 注 册 可 以 通过 移动 IP 中 定义 
注册 消息 来 完成 。 

@ 归属 代理 对 移动 节点 的 注册 请 求 进行 鉴 权 、 认 证 。 归 属 代理 通过 发 送 注 册 成 功 
消息 到 移动 人 P 的 转交 地 址 来 标志 注册 的 完成 。 

@ 注册 完毕 后 ， 所 有 发 给 移动 主机 的 数据 包 被 本 地 代理 截获 ， 经 本 地 代理 封装 后 
通过 隧道 发 到 外 地 网 络 的 外 区 代理 FA 代理 转交 地 址 或 移动 主机 自身 (配置 转交 地 
址 ) 。 在 采用 代理 转交 地 址 的 情况 下 ， 外 地 代理 再 把 数据 包 转 发 给 移动 主机 。 此 时 ， 数 
据 包 在 不 同 子 网 间 传 送 成 功 。 

@ 移动 节点 发 往 与 它 通 信 的 主机 的 数据 会 直接 经 过 外 地 代理 转发 到 相应 主机 。 这 
就 形成 了 一 个 “三 角 路 由 ”。 
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3. 移动 IP 技术 中 的 几 项 关键 技术 

移动 耳 与 传统 卫 协议 相 比 ， 主 要 使 用 了 下 列 几 个 关键 技术 。 

1) 隧道 技术 

隧道 技术 是 归属 代理 把 原先 发 往 移动 节点 的 数据 包 ， 封 装 在 发 向 转交 地 址 的 数据 包 
中 ， 并 在 外 区 代理 中 解 包 ， 然 后 传 向 移动 节点 的 当前 位 置 。 通 过 该 技术 ， 避 免 了 从 归属 
链 路 到 外 部 链 路 上 所 有 路 由 器 的 路 由 信息 改动 。 当 其 他 节点 向 移动 节点 发 送 数据 包 时 ， 
归属 代理 截获 该 数据 包 ， 使 用 隧道 技术 把 数据 包 向 外 区 代理 发 送 。 这 是 通过 IP in IP 封 
装 来 实现 的 ， 如 图 1-95 所 示 。 


原始 数据 包 ” 源 IP 地 址 = 原始 发 送 者 


目的 IP 地 址 = 最 终 目的 地 址 


封装 后 的 数据 包 。 源 卫 地 址 = 隧道 入 口 
目的 人 P 地 址 = 隧道 出 口 
外 部 包头 原始 数据 包 


封装 后 的 
人 
移动 | 原始 | 外 区 归属 原始 
节点 厂 数 据 包 | 代理 代理 "数据 三 
隧道 出 昌 i 隧道 入 口 
图 1.95 隧道 技术 


2) 代理 搜索 

代理 搜索 通过 两 种 消息 来 实现 : 代理 请 求 消息 和 代理 广播 消息 。 代理 搜索 基于 ICMP 
协议 之 上 。 代 理 请 求 消息 是 在 移动 节点 没有 耐心 等 待 代理 广播 消息 时 由 移动 节点 发 送 的 。 
它 的 目的 是 为 了 让 链 路 上 的 所 有 代理 发 送 一 个 广播 代理 消息 ， 该 消息 比较 简单 。 代 理 广 
播 消 息 用 来 实现 代理 搜索 的 所 有 功能 。 

3) 注册 

注册 发 生 在 代理 搜索 之 后 ， 是 移动 主机 把 搜索 获得 的 转交 地 址 及 时 通知 到 隧道 入 口 
(归属 代理 ) 的 方法 。 它 在 以 下 三 种 情况 下 都 会 发 生 : (D 当 移 动 主机 切换 网 络 时 ; @ 当 
移动 主机 发 现 所 连接 的 外 地 代理 重启 时 ; @@ 当 移 动 主机 的 现 有 注册 到 期 时 。 

注册 过 程 是 移动 主机 和 归属 代理 间 一 次 注册 请 求 和 注册 应 答 的 交互 。 注 册 的 实现 有 
两 种 方式 一 是 移动 主机 用 外 地 代理 转交 地 址 注册 ， 如 图 1-96 所 示 。 
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1-96 移动 主机 使 用 外 地 代理 转交 地 址 的 注册 过 程 


此 时 注册 的 实现 过 程 为 移动 主机 根据 搜索 所 得 消息 产生 注册 请 求 信 息 ， 并 发 送 给 外 
地 代理 ， 等 待 注册 应 答 一 外 地 代理 先 检查 收 到 的 请 求 消息 ， 没 问题 就 记 下 发 回应 答 所 要 
的 信息 ， 再 将 请 求 中 继 给 归属 代理 一 归属 代理 检查 该 请 求 ， 若 请 求 无 效 ， 则 发 送 表 注册 
失败 的 应 答 ， 若 有 效 ， 则 更 新 本 地 地 址 、 转 交 地 址 对 应 表 中 的 绑 定 表 项 ， 做 对 应 于 请 求 
的 操作 ,最 后 向 外 地 代理 发 送 表 注册 成 功 的 应 答 一 外 地 代理 对 注册 应 答 进行 有 效 性 检查 。 
若 应 答 无 效 就 产生 一 个 含 Code 域 的 应 答 送 给 移动 主机 ; 应 答 有 效 就 更 新 来 访 移动 主机 
的 列表 ， 将 应 答 中 继 给 移动 主机 一 移动 主机 先 检查 应 答 的 有 效 性 ， 若 有 效 ， 再 检查 注册 
被 代理 接受 与 否 的 Code 域 ， 若 被 拒绝 则 修正 错误 并 尝试 重新 注册 ， 若 被 接受 就 调整 路 
由 表 以 适应 当前 网 络 ， 停 止 重 发 注册 请 求 。 

二 是 移动 主机 用 配置 转交 地 址 注册 ， 如 图 1-97 所 示 。 


注册 请 求 


归属 代理 
外 地 网 络 


图 1-97 移动 主机 使 用 配置 转交 地 址 的 注册 过 程 


此 时 注册 过 程 相 对 简单 ， 不 需要 通过 外 地 代理 ， 具 体 过 程 为 移动 主机 向 归属 代理 发 
送 注册 请 求 消息 一 归属 代理 处 理 注册 请 求 并 发 回 注册 应 答 一 移动 节点 处 理 注册 应 答 。 
1.8.1.8 QoS 支持 

1. QoS 概述 


服务 质量 〈Quality of Service，QoS) 是 服务 性 能 的 总 效果 ， 此 效果 决定 了 一 个 用 户 
对 服务 的 满意 程度 。 因 此 在 最 简单 的 意义 上 ， 有 服务 质量 的 服务 就 是 能 够 满足 用 户 的 应 
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用 需求 的 服务 。 

在 Intemet 上 为 用 户 提供 高 质量 的 QoS 必须 解决 以 下 几 个 问题 。 

。 QoS 的 分 类 与 定义 : 对 QoS 进行 分 类 和 定义 的 目的 是 使 网 络 可 以 根据 不 同类 型 的 
QoS 进行 管理 和 分 配 资源 。 例 如 ， 给 实时 服务 分 配 较 大 的 带宽 和 较 高 的 CPU 处 
理 时 间 等 ; 另 一 方面 , 对 QoS 进行 分 类 定义 也 方便 用 户 根据 不 同 的 应 用 提出 QoS 
需求 。 

准 入 控制 和 协商 : 根据 网 络 中 资源 的 使 用 情况 ， 人 允许 用 户 进 入 网 络 进行 多 媒体 信 
息 传输 协商 其 QoS。 

。 资源 预约 : 为 了 给 用 户 提供 满意 的 QoS， 必 须 对 端 系 统 、 路 由 器 以 及 传输 带宽 等 

相应 的 资源 进行 预约 ， 以 确保 这 些 资源 不 被 其 他 应 用 所 抢 用 。 

。 资源 调度 与 管理 : 资源 进行 预约 之 后 ， 是 否 能 得 到 这 些 资源 ， 还 依赖 于 相应 的 资 
源 调度 与 管理 系统 。 

2. QoS 的 若干 性 能 指标 

服务 质量 可 用 若干 基本 的 性 能 指标 来 描述 ， 包 括 可 用 性 、 差 错 率 、 响 应 时 间 、 吞 吐 
量 、 分 组 丢失 率 、 连 接 建立 时 间 、 故 障 检测 和 改正 时 间 等 。 

3. 由 QoS 控制 来 实现 QoS 保证 的 策略 

IP 网 络 如 何 提供 服务 质量 QoS 支持 这 一 问题 已 经 成 为 业界 关注 的 焦点 。 对 于 由 QoS 
控制 来 实现 QoS 保证 ,国际 上 不 同 组 织 和 团体 提出 了 不 同 的 控制 机 制 和 策略 ， 比 较 著名 
的 有 以 下 一 些 : 

。 ISO/OSI 提出 了 基于 ODP 分 布 式 环境 的 QoS 控制 ， 至 今 仍 只 停留 在 给 出 了 用 户 

层 的 QoS 参数 说 明和 集成 接口 阶段 ， 具 体 实现 QoS 的 控制 策略 并 未 提出 。 

。 ATM 论坛 提出 了 Qos 控制 的 策略 和 实现 , ATM 控制 是 “连接 预定 (connection and 
Ieservation)” 型 ， 它 的 核心 内 容 是 在 服务 建立 之 前 ， 通 过 接纳 控制 和 资源 预 留 来 
提供 服务 的 QoS 保证 ， 而 在 服务 交互 的 过 程 中 , 用 户 进程 和 网 络 要 严格 按照 约定 
的 QoS 实现 服务 QoS 保证 。 

。 IETF 组 织 也 已 经 提出 了 多 种 服务 模型 和 机 制 来 满足 对 QoS 的 需求 ， 其 中 比较 典 
型 的 有 : RFC2115， RFC2117 以 及 1998 年 、1999 年 提出 的 RFC26xx 系列 中 的 
综合 业务 模型 、 差 分 业务 模型 、 多 协议 标签 MPLS 技术 、 流 量 工程 和 QoS 路 由 
等 ， 均 用 于 解决 Intemet 的 QoS 控制 和 管理 。 

4. 主要 的 QoS 技术 

当前 主要 的 QoS 技术 有 集成 服务 (Integrated Services，IntServ) /资源 预 留 协议 
(RSVP)、 区 分 业务 (Differentiated Services，DiffServ)、 多 协议 标记 交换 (Multi-Protocol 
Label Switching，MPLS)、 流 量 工程 (Traffic Engineering)、QoS 路 由 (QoS Routing， 
QoSR) 等 。 
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1) 集成 服务 (IntServ) 

IntServ 其 基本 思想 是 一 个 应 用 要 想 获 得 某 种 服务 质量 , 必须 在 向 网 络 传送 流量 之 前 
请 求 网络 为 其 预 留 所 需 资源 。 因 此 从 某 种 意义 上 来 说 ，IntServ 实际 上 是 提供 了 一 种 类 似 
于 电路 级 的 服务 质量 。 

在 结构 层次 上 ，IntServ 服务 模型 主要 由 以 下 4 部 分 构成 : 

。 资源 预 留 协议 RSVP， 它 是 IntServ 的 信 令 协议 ， 负 责 逐 点 (hop-by-hop) 地 建立 

或 者 拆除 每 个 流 的 资源 预 留 软 状态 (soft state)， 即 建立 或 拆除 数据 传输 路 径 。 

。 接纳 控制 ， 用 来 决定 是 否 同意 对 某 一 资源 的 请 求 ， 其 根据 是 链 路 和 网 络 节点 的 资 
源 使 用 情况 以 及 QoS 请 求 的 具体 要 求 。 

。 分 类 器 ， 用 来 将 进入 路 由 器 的 分 组 进行 分 类 ， 并 根据 分 类 的 结果 将 不 同类 别 的 分 
组 分 别 放 入 不 同类 别 的 队列 。IntServ 常用 的 分 类 器 是 多 域 分 类 器 ， 当 路 由 器 接收 
到 数据 包 时 ， 它 根据 数据 包头 部 的 多 个 域 ( 如 源 全 地址 、 目 的 他 地址 、 源 端口 
号 、 目 的 端口 号 、 传 输 协 议 )， 将 数据 包 放 入 相应 的 队列 中 。 

。 调度 器 (packet scheduler), 根据 不 同 的 策略 对 各 个 队列 中 的 数据 包 进 行 调度 转发 。 

使 用 RSVP 信 令 建立 数据 发 送 路 径 以 及 为 业务 流 预 留 资源 的 过 程 可 分 为 下 面 几 步 。 

Q@ 数据 发 送 的 源 端 确定 发 送 数据 流 所 需 的 带宽 、 延 迟 和 延迟 拌 动 等 指标 ( 即 TSPEC 
参数 )， 并 将 其 包含 在 PATH 控制 消息 中 发 送 给 接收 端 。 

@ 各 RSVP 路 由 器 解释 PATH 消息 , 保存 上 一 中 继 的 人 P 地 址 ， 将 自己 的 卫 地 址 作 
为 前 一 中 继 段 地 址 ， 并 沿 应 用 程序 数据 使 用 的 路 由 发 送 更 新 后 的 消息 。 

@ 接收 端 收 到 PATH 消息 后 , 它 沿 着 与 PATH 消息 中 获取 的 源 路 径 相 反 的 方向 向 上 
一 中 继 段 路 由 器 发 送 一 个 RESV 消息 。 该 RESV 消息 包含 为 数据 流 进行 资源 预 留 所 需要 
描述 的 流量 和 性 能 期 望 等 QoS 信息 。 

@ RSVP 路 由 器 接收 到 RESV 消息 时 ， 它 通过 接纳 控制 来 确定 是 否 可 以 满足 这 些 
RESV 请 求 。 如 果 可 以 ， 就 合并 收 到 的 预 留 请 求 ， 进 行 带宽 和 缓冲 区 空间 的 预 留 ， 并 且 
存储 一 些 与 数据 流 相关 的 特定 信息 ,并 将 RESV 消息 转发 给 上 一 中 继 段 路 由 器 请 求 预 留 。 
如 果 不 能 ， 就 拒绝 预 留 ， 同 时 返 给 接收 端 一 个 错误 信息 。 

@ 如 果 源 端 收 到 RESV 消息 ， 则 表明 数据 流 的 资源 预 留 已 经 成 功 ， 可 开始 向 接收 
端 发 送 数据 。 

@ 当 数 据 流 发 送 完毕 ， 路 由 器 可 以 释放 先前 设置 的 预 留 资源 。 

IntServ 模型 的 优点 如 下 : 

。 提供 绝对 保证 的 QoS， 因 为 RSVP 在 从 源 端 到 目地 端的 每 个 路 由 器 上 运行 ， 能 监 

视 每 个 数据 流 ， 以 防 资源 浪费 。 

。 在 源 端 与 目的 地 之 间 ，RSVP 可 以 用 现 有 的 路 由 协议 决定 数据 流 的 通路 ，RSVP 
使 用 他 包 承载 ， 通 过 周期 性 重 传 路 径 和 RESV 消息 ， 能 对 网 络 拓扑 的 变化 做 出 
反应 。 
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。 可 支持 多 播 流 ，RSVP 协议 能 让 路 径 消息 识别 多 播 流 的 所 有 端点 ， 并 将 路 径 消息 
发 送 给 它们 ， 还 能 把 来 自 每 个 接收 端的 RESV 消息 合并 到 一 个 网 络 请 求 点 上 ， 让 
一 个 多 播 流 能 在 分 开 的 连接 上 发 送 。 

IntServ 模型 的 缺点 如 下 : 

。 状态 信息 的 数量 与 流 的 数目 成 正比 。 因 此 在 大 型 网 络 中 ， 按 每 个 流 进行 资源 预 留 
会 产生 很 大 的 开销 。 

。 IntServ 体系 结构 复杂 。 若 要 得 到 有 保证 的 服务 ， 所 有 的 路 由 器 都 必须 装 有 
RSVP、 接 纳 控制 、 分 类 器 和 调度 器 。 

。 综合 服务 IntServ 所 定义 的 服务 质量 等 级 数量 太 少 ， 不 够 灵活 。 

2) 区 分 服务 (DiffServ) 

Diffserv 模型 的 基本 思想 是 根据 预先 确定 的 规则 对 数据 流 进 行 分 类 ， 将 具有 相同 
QoS 需求 的 不 同业 务 的 数据 流 聚 集成 一 个 数据 流 集合 进行 统一 处 理 ， 以 便 将 多 种 应 用 数 
据 流 综合 为 有 限 的 几 种 数据 流 等 级 , 不 同 的 数据 流 集合 获得 不 同 的 优先 级 处 理 。 DiffServ 
模型 是 为 克服 IntServ 模型 的 扩展 性 问题 ， 从 IntServ 模型 发 展 而 来 的 一 种 相对 简单 的 、 
较 粗 糙 的 提供 区 别 服务 等 级 (Class of Service, CoS ) 的 模型 。 它 采用 了 IETE 的 基于 RSVP 
的 服务 分 类 标准 ， 但 抛弃 了 分 组 流 沿路 节点 上 的 资源 预 留 。 

DiffServ 将 IPv4 协议 中 原 有 的 服务 类 型 字段 和 IPv6 的 通信 量 类 字段 定义 为 区 分 服 
务 字段 DS。 该 字 节 中 的 前 6 个 比特 称 为 区 分 服务 编码 点 ， 用 于 QoS 的 特殊 定义 ， 包 括 
“等 级 ”和 “丢弃 优先 级 ”。 另 外 ，DiffServ 将 整个 网 络 分 成 若干 个 DS 域 ， 一 个 DiffServ 
域 由 一 系列 支持 DiffServ 机 制 的 节点 构成 。 在 DiffServ 域 中 , 主要 的 成 员 有 边缘 路 由 器 、 
核心 路 由 器 和 资源 控制 器 。 

当 数 据 流 进入 DiffServ 网 络 时 ,边缘 路 由 器 通过 标识 该 字段 , 将 IP 包 分 为 不 同 的 服 
务 类 别 , 而 网 络 中 的 其 他 路 由 器 在 收 到 该 PP 包 时 ， 则 根据 该 字段 所 标识 的 服务 类 别 将 其 
放 入 不 同 的 队列 ， 并 由 作用 于 输出 队列 的 流量 管理 机 制 ， 按 事先 设 定 的 带宽 、 缓 冲 处 理 
控制 每 个 队列 ， 即 给 予 不 同 的 每 一 跳 行 为 (PerHopBehaivor，PHB )。 

总 之 ，DiffServ 根据 每 个 卫 包头 中 的 DS 字段 ， 可 以 将 其 归 类 到 与 其 具有 相同 QoS 
需求 的 一 个 数据 集合 中 去 , 这样 ,众多 的 数据 流 被 归 类 成 了 几 个 为 数 不 多 的 具有 相同 QoS 
需求 的 数据 集合 进行 传送 ， 然 后 根据 与 每 个 数据 集合 相对 应 的 处 理 方式 对 这 些 数据 集合 
进行 处 理 。 这 种 模型 简化 了 数据 流 的 处 理 过 程 ， 减 少 了 路 由 器 中 信息 存储 的 负担 ， 同 时 
也 免 去 了 IntServ/RSVP 模型 中 在 网 络 内 部 建立 路 由 通道 的 操作 ， 从 而 减少 了 主机 之 间 简 
短 对 话 的 负荷 ， 提 高 了 网 络 的 响应 性 能 。 

具体 工作 流程 如 下 : 

@ 首先 DiffServ 域 的 边缘 路 由 器 对 来 自用 户 或 其 他 网 络 的 非 DiffServ 的 业务 流 进行 
分 类 ， 为 每 个 他 包 填 入 新 的 DSCP 字段 ; 同时 ,建立 起 并 开始 应 用 与 每 一 个 业务 相对 应 
的 服务 水 平 协定 CSLA) 和 PHB 。 而 对 来 自用 户 或 其 他 网 络 的 DiffServ 业务 流 ， 则 依据 
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IP 包 中 的 DSCP 字段 选择 特定 的 PHB。 

@ 然后 开始 业务 转发 ， 边 缘 路 由 器 的 策略 单元 将 根据 SLA 对 收 到 的 业务 流 进行 测 
量 ， 监 视 用 户 是 否 遵守 SLA， 并 将 测量 结果 输入 业务 流 策略 单元 ， 对 业务 流 进行 整形 、 
丢弃 、 标 记 (DSCP 的 改写 ) 等 工作 。 这 一 过 程 称 为 业务 量 调整 (traffic conditioning) 或 
业务 量 策 略 (traffic policing)。 

@ 边缘 路 由 器 对 DSCP 字段 进行 检查 ， 依 据 DSCP 为 业务 流 选择 特定 的 PHB， 根 
据 PHB 所 指定 的 排队 策略 , 将 属于 不 同业 务 类 别 的 业务 流 导 入 不 同 的 队列 加 以 处 理 , 并 
按 事先 设 定 的 带宽 、 缓 冲 处 理 输出 队列 ， 最 后 按 PHB 所 指定 的 丢弃 策略 对 IP 包 实施 必 
要 的 丢弃 。 

@ 核心 路 由 器 将 只 依据 DSCP 字段 为 业务 流 选择 特定 的 PHB, 根据 PHB 所 指定 的 
排队 策略 ， 将 属于 不 同业 务 类 别 的 业务 流 导 入 不 同 的 队列 加 以 处 理 ， 并 按 事先 设 定 的 带 
宽 、 缓 冲 处 理 输出 队列 ， 最 后 按 PHB 所 指定 的 丢弃 策略 对 IP 包 实施 必要 的 丢弃 。 

DiffServ 的 优点 如 下 : 

。 DiffServ 最 主要 的 优势 是 弱化 了 对 信 令 的 依赖 ， 中 间 节 点 只 需 依据 一 定 的 分 组 标 
记 应 用 各 种 PHB 即 可 ， 无 须 像 IntServ 在 每 个 路 由 器 上 为 每 个 业务 流 保留 “ 软 状 
态 ” 避免 了 大 量 的 资源 预 留 信息 的 传递 ， 具 有 更 好 的 可 扩展 性 。 

。 DiffServ 不 要 求实 现 端 到 端的 QoS 保证 ， 只 要 求 在 DS 域内 QoS 的 一 致 性 ， 而 在 
DS 域 之 间 进 行 一 定 的 映射 来 保证 不 同类 别 业 务 的 QoS。 

。 DiffServ 将 QoSs 的 一 致 性 范围 缩小 到 每 个 区 域 之 中 ， 从 而 降低 了 这 种 模型 实现 的 
复杂 性 。 

。 DiffServ 模型 的 绝 大 部 分 分 类 和 整形 操作 只 在 DS 域 的 边缘 路 由 器 上 执行 ， 大 大 
简化 了 在 DS 域内 核心 路 由 器 对 传输 人 P 包 的 操作 。 而 IntServ 模型 需要 在 传输 的 
整个 路 由 中 对 每 个 全 包 都 进行 相应 的 分 类 和 整形 操作 。 

DiffServ 的 缺点 如 下 : 

DiffServ 不 提供 全 网 端 到 端的 QoS 保证 ， 它 所 提供 的 QoS 只 是 一 种 相对 的 QoS 只 

是 不 同等 级 业务 流 之 间 的 QoS 好 坏 关 系 ， 在 转发 方式 上 仍然 是 采用 传统 卫 网 的 逐 跳 转 
发 方式 。 有 关 业 务 等 级 的 具体 划分 、 每 类 业务 性 能 的 量化 描述 、IP 业务 类 别 与 ATM QoS 
的 映射 等 技术 细节 ，IETF 还 未 给 出 具体 的 规定 。 

3) MPLS 

MPLS (Multi-Protocol Label Switching， 多 协议 标记 交换 技术 ) 是 一 种 利用 给 每 个 分 
组 打上 的 固定 标记 ， 在 开放 的 通信 网 络 上 用 硬件 对 分 组 进行 转发 的 高 速 、 高 效 传输 的 新 
技术 。 这 种 采用 硬件 技术 对 打上 标记 的 分 组 进行 转发 称 为 标记 交换 。 另 外 ，MPLS 并 不 
仅 限 于 使 用 AIM， 它 可 以 使 用 多 种 链 路 层 协议 ， 如 IPX，DECnet，PPP， 以 太 网 以 及 帧 
中 继 等 ， 所 以 ， 这 种 标记 交换 是 “多 协议 ”的 。 

MPLS 协议 的 关键 是 引入 了 标记 〈]label) 的 概念 。 它 是 一 种 固定 长 度 的 、 短 的 、 不 
包含 拓扑 信息 ， 只 具有 局 部 意义 的 信息 内 容 。Label 短 是 为 了 易于 处 理 ， 通 常 可 以 用 索 
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引 直接 引用 。 只 具有 局 部 意义 是 为 了 便于 分 配 。 

MPLS 的 作用 如 下 : 

。 在 无 连接 的 网 络 中 引入 连接 模式 从 而 减少 了 网 络 的 复杂 性 。 

。 兼容 现 有 各 种 主流 网 络 技 术 ， 能 大 大 降低 网 络 成 本 。 

。 在 提高 卫 业务 性 能 的 同时 ， 能 确保 网 络 通信 的 服务 质量 和 数据 传输 的 安全 性 。 

MPLS 的 基本 术语 如 下 : 

。 标记 交换 路 由 器 LSR。 

标记 交换 路 由 器 LSR 具有 标记 交换 和 路 由 选择 两 种 功能 。 因为 它 使 用 标记 交换 功能 
对 分 组 进行 转发 。 在 转发 分 组 前 它 需 要 使 用 路 由 选择 功能 构造 分 组 转发 表 。 根 据 标记 交 
换 协议 确定 特定 标记 的 路 径 ， 即 标记 交换 路 径 LSP。 而 LSR 是 根据 LSP 来 构造 分 组 转 
发 表 的 。 

。 转发 等 价 类 FEC 。 

所 有 需要 做 相同 转发 处 理 〈 具 有 同样 服务 类 别 和 同样 丢弃 优先 级 ) 并 转发 到 相同 下 
一 跳 的 分 组 属于 同一 转发 类 。 如 : 目的 瑟 地 址 与 某 一 个 特定 卫 地 址 的 前 级 匹配 的 分 组 ， 
所 有 源 地 址 与 目的 地 址 都 相同 的 分 组 , 具有 某 种 服务 质量 需求 的 分 组 。 相同 FEC 的 分 组 
都 指派 同样 的 标记 ， 所 以 入 口 节点 并 不 是 给 每 一 个 分 组 指派 一 个 不 同 的 标记 。 而 且 FEC 
和 标记 是 一 一 对 应 的 。 

。 标记 栈 。 

MPLS 的 一 个 重要 功能 就 是 可 以 构成 标记 栈 ， 如 图 1-98 所 示 。 


| LABEL (20 位 ) 


EXP (3 位 ) ] S (1 位 ) ] TTL (8 位 ) 


链 路 层 首部 MPLS 标记 MPLS 标记 | IP 首部 数据 部 分 链 路 层 尾部 


MPLS 标记 栈 一 IP 数据 报 -| 


MPLS 帧 一 | 


1-98 ”MPLS 的 标记 和 标记 栈 


MPLS 标记 一 旦 产生 就 压 入 到 标记 栈 中 , 而 整个 标记 栈 放 在 数据 链 路 层 首部 和 了 P 首 
部 之 间 。 栈 是 一 种 后 进 先 出 的 数据 结构 。MPLS 协议 规定 ， 标 记 栈 的 栈 顶 (最 后 进入 栈 
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的 标记 ) 最 靠近 数据 链 路 层 首部 ， 而 栈 底 最 靠近 IP 首部 。 在 最 简单 的 情况 下 ， 标 记 栈 
中 只 有 一 个 标记 。 
MPLS 的 基本 工作 过 程 如 下 : 
。 MPLS 域 中 的 各 LSR 使 用 专门 的 标记 分 配 协议 LDP 交换 报 文 , 并 找 出 标记 交换 
路 径 LSP。 各 LSR 根据 这 些 路 径 构 造 出 分 组 转发 表 。 
。 分 组 进入 到 MPLS 域 时 ，MPLS 入 口 节点 把 分 组 打上 标记 ， 并 按照 转发 表 将 分 组 
转发 给 下 一 个 LSR 。 
。 以 后 的 所 有 LSR 都 按照 标记 进行 转发 。 每 经 过 一 个 LSR， 要 换 一 个 新 的 标记 。 
当 分 组 离开 MPLS 域 时 ，MPLS 出 口 节 点 把 分 组 的 标记 去 除 。 再 以 后 就 按照 一 般 
分 组 的 转发 方法 进行 转发 。 
1.8.2 ”传输 层 协议 TCP 与 UDP 


TCP 和 UDP 是 Internet 传输 层 的 两 个 协议 。 从 图 1-79 可 以 看 出 它们 分 别 为 应 用 层 
的 不 同 协议 提供 服务 。 当 然 什 么 样 的 应 用 层 协议 使 用 TCP， 什 么 样 的 应 用 层 协议 使 用 
UDP， 是 根据 它们 的 需要 及 TCP 和 UDP 的 特点 而 决定 的 。 

1. TCP 协议 特点 

TCP 是 面向 连接 的 协议 ， 提 供 可 靠 的 、 全 双 工 的 、 面 向 字 节 流 的 、 端 到 端的 服务 。 

TCP 的 连接 是 一 对 端点 的 连接 ， 为 了 清晰 地 表明 这 条 连接 的 源 地 址 和 目的 地 址 ， 给 
每 一 个 端点 分 配 一 个 套 接 字 〈socket) 或 插口 。 虽 然 每 台 主 机 对 端口 号 是 独立 编号 ， 但 
是 全 地 址 是 唯一 的 ， 和 了 他 地 址 绑 定 后 所 形成 的 插口 就 是 唯一 的 。 

套 接 字 二 《IP 地 址 : 端口 号 ) 

端口 号 对 应 主机 中 的 一 个 应 用 进程 ， 编 程 语言 通常 用 port 表示 。 由 此 可 得 : 

TCP 连接 :: 二 (Socketl,Socket2) = ((IP1:portl ) , (IP2:port2)) 

2. TCP 报 文 格式 

TCP 报 文 格式 如 图 1-99 所 示 。 

。 序 号: 4 字 节 。TCP 传送 的 数据 流 每 一 个 字 节 都 编 有 一 个 序号 。 序 号 字段 中 的 值 

是 本 报 文 段 所 发 送 数据 的 第 一 个 字 节 的 序号 。 
。 确认 号 : 4 字 节 。 确 认 字 段 的 值 是 期 望 收 到 对 方 下 一 个 报 文 段 的 数据 的 第 一 个 字 
节 的 序号 。 

。 数据 偏 移 : 4 字 节 。 它 指出 当前 TCP 报 文 段 的 数据 起 始 处 距离 TCP 报 文 段 的 起 
始 处 有 多 远 。“ 数 据 偏 移 ” 的 单位 不 是 字 节 而 是 32 bit 字 (4 字 节 为 计算 单位 )。 
紧急 比特 URG: 当 URG = 1 时 ， 表 明 紧急 指针 字段 有 效 。 
确认 比特 ACK: 只 有 当 ACK = 1 时 确认 号 字段 才 有 效 。 
推送 比特 PSH: 接收 TCP 收 到 推送 比特 置 1 的 报 文 段 ， 就 尽快 地 交付 给 接收 应 
用 进程 ， 而 不 再 等 到 整个 缓存 都 填 满 了 后 再 向 上 交付 。 
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16 31 
| 源 端口 号 目的 端口 号 
序号 
确认 号 
| Ba; | 保 | | | [ | | i 
| 校 验 和 紧急 指针 
CC 选项 (长 度 可 变 ) | 二 
TCP 首部 | | 数据 部 分 
可 TCP 报 文 | 
IP 首部 A 
要 IP 数据 报 本 


图 1-99 ”TCP 报 文 的 格式 及 它 与 全 数据 报 的 关系 


。 复位 比特 RST: 当 RST= 1 时 ， 表 明 TCP 连接 中 出 现 严重 差错 〈 如 由 于 主机 裔 
溃 或 其 他 原因 )， 必 须 释 放 连 接 ， 然 后 再 重新 建立 运输 连接 。 
。 同步 比特 SYN: 同步 比特 SYN 置 为 1， 就 表示 这 是 一 个 连接 请 求 或 连接 接受 
报 文 。 
。 终止 比特 FIN: 用 来 释放 一 个 连接 。 当 FIN = 1 时 ， 表 明 此 报 文 段 的 发 送 端的 数 
据 已 发 送 完毕 ， 并 要 求 释放 运输 连接 。 
。 窗口 : 2 字 节 。 窗 口 字段 用 来 控制 对 方 发 送 的 数据 量 。TCP 连接 的 一 端 根据 设置 
的 缓存 空间 大 小 确定 自己 的 接收 窗口 大 小 ， 然 后 通知 对 方 以 确定 对 方 的 发 送 窗口 
的 上 限 。 
3. TCP 建立 与 释放 连接 机 制 
TCP 提供 的 可 靠 服务 ， 在 连接 的 建立 和 释放 上 也 体现 了 出 来 。 
1) TCP 连接 建立 机 制 
TCP 使 用 三 次 握手 来 建立 连接 ， 大 大 增强 了 可 靠 性 。 如 防止 已 失效 的 连接 请 求 报 文 
段 到 达 被 请 求 方 ， 产 生 错 误 造成 资源 的 浪费 。 
具体 过 程 如 图 1-100 所 示 。 
2) TCP 连接 释放 机 制 
TCP 的 释放 分 为 : 半 关 闭 和 全 关闭 两 个 阶段 。 半 关闭 阶段 是 当 A 没有 数据 再 向 B 
发 送 时 ，A 向 B 发 出 释放 连接 请 求 ，B 收 到 后 向 A 发 回 确认 。 这 时 A 向 B 的 TCP 连接 
就 关闭 了 。 但 B 仍 可 以 继续 向 A 发 送 数据 。 当 B 也 没有 数据 再 向 A 发 送 时 ， 这 时 B 就 
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向 A 发 出 释放 连接 的 请 求 ， 同 样 ，A 收 到 后 向 B 发 回 确认 。 至 此 为 止 B 向 A 的 TCP 连 
接 也 关闭 了 。 当 B 确实 收 到 来 自 A 的 确认 后 ， 就 进入 了 全 关闭 状态 ， 如 图 1-101 所 示 。 


SYN=1, 序号 =X 
连接 请 求 一 


SYN=1，ACK=1， 序号 =Y， 确认 序号 =X+1 


ACK=1， 序 号 =X+1， 确 认 序号 =Y+1 
确认 pe 


图 1-100 TCP 三 次 握手 连接 建立 过 程 


A 主机 B 主机 


FIN=1, 序号 =X 
释放 连接 请 求 


ACK=1， 序号 =Y， 确认 序号 =X+1 


确认 


FIN=1， ACK 一 1， 序号 =Y， 确认 序号 =X+1 
= 释放 连接 请 求 


ACK 一 1， 序号 =X+1， 确认 序号 =Y+1 
确认 SS 


图 1-101 TCP 释放 连接 的 过 程 


4. TCP 定时 管理 机 制 

重 传 机 制 是 保证 TCP 可 靠 性 的 重要 措施 。TCP 每 发 送 一 个 报 文 段 ， 就 对 这 个 报 文 
段 设置 一 次 计时 器 。 只 要 计时 器 设置 的 重 传 时 间 到 但 还 没有 收 到 确认 ， 就 要 重 传 这 一 报 
文 段 。 超 时 重 传 时 间 设 置 的 长 短 、 恰 当 与 否 关 系 到 网 络 的 工作 效率 。 如 果 设 置 得 太 短 ， 
会 引起 很 多 报 文 段 的 重 传 ， 增 大 网 络 的 负荷 ， 如 果 设 置 得 太 长 ， 则 会 增 大 网 络 的 空闲 时 
间 ， 降 低 网 络 的 传输 效率 。 

TCP 采用 如 下 方法 计算 超时 重 传 时 间 。 

所 涉及 的 参数 : 报 文 段 的 往返 时 间 RIT， 报 文 段 的 加 权 平均 往返 时 延 RTTs， 超 时 
生 传 时 间 RIO，RIT 的 偏差 的 加 权 平 均值 RTTp。 


上 由 
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具体 步骤 如 下 : 
首先 计算 出 来 第 一 个 RTT。 然 后 把 第 一 个 RTT 值 设 置 为 RTTs 的 初始 值 。 以 后 再 计 
算 新 的 RTTs 时 采用 如 下 公式 : 


新 的 RTTs= (1-o) xX ( 旧 的 RTTs) +wX (新 的 RIT 样 本) 
其 中 a 的 值 常 取 为 /8。 计 算 RTO 的 公式 为 : 
RIO=RTTs 十 4XRTTp 


RTTD 的 初始 值 为 RTT 样本 值 的 一 半 ， 以 后 再 计算 RTTp 时 采用 公式 : 
新 的 RTTbp 二 (1-B) X( 旧 的 RTTp)〉+BX|RTTs -新 的 RIT 样本 | 

其 中 [的 值 常 取 为 1/4。 

需要 注意 的 是 往返 时 间 RIT 的 测量 是 比较 复杂 的 。 

5. TCP 拥塞 控制 策略 

传输 层 的 主要 任务 是 保证 端 到 端 可 靠 的 传输 。 端 到 端 之 间 跨 越 的 是 若干 个 网 络 ( 局 
域 网 和 广域网 )。 所 以 要 保证 网 络 高 的 传输 效率 ， 必 须 保证 网 络 的 畅通 , 不 会 发 生 拥塞 现 
象 。 因 为 一 旦 网 络 发 生 拥 塞 ， 不 但 网 络 的 传输 速度 会 降低 ， 而 且 还 会 导致 数据 的 丢失 和 
重 传 。 那 么 网 络 在 什么 情况 下 会 发 生 拥 塞 呢 ? 可 以 把 网 络 发 生 拥 塞 的 条 件 用 如 下 式 子 
表示 : 

了 对 资源 的 需求 > 可 用 资源 

其 中 资源 是 指 链 路 的 容量 、 交 换 节 点 的 缓存 大 小 和 处 理 机 速度 。 

所 谓 拥塞 控制 就 是 防止 过 多 的 数据 注入 网 络 , 使 网 络 中 的 链 路 和 交换 节点 (路 由 器 ) 
的 负荷 不 致 过 载 而 发 生 拥 塞 。 

发 送 端的 主机 在 确定 发 送 报 文 段 的 速率 时 ， 既 要 根据 接收 端的 接收 能 力 ， 又 要 从 全 
局 考虑 不 要 使 网 络 发 生 拥 塞 。 因 此 ， 每 一 个 TCP 连接 需要 有 接收 端 窗口 和 拥塞 窗口 两 
个 状态 变量 , 发 送 端的 窗口 取 两 者 中 较 小 的 值 。 接 收 窗口 就 是 TCP 报 文 段 首部 中 的 窗口 
字段 的 值 ， 是 接收 端 主机 根据 其 目前 的 接收 缓存 大 小 所 许诺 的 最 新 的 窗口 值 。 拥 塞 窗 口 
是 网 络 的 传输 能 力 ， 是 由 发 送 端 设置 的 。 

TCP 的 拥塞 控制 主要 有 以 下 4 种 方法 : 慢 开 始 、 拥 塞 避免 、 快 重 传 和 快 恢 复 。 

1) 慢 开 始 和 拥塞 避免 
因为 当主 机 开始 发 送 数据 时 ， 如 果 立 即将 较 大 的 发 送 窗 口中 的 全 部 数据 字 节 都 注入 
到 网 络 ， 由 于 还 不 清楚 网 络 的 状况 ， 有 可 能 引起 网 络 拥塞 。 经 验证 明 ， 较 好 的 方法 是 试 
探 一 下 ， 即 由 小 到 大 逐渐 增 大 发 送 端的 拥塞 窗口 数值 ， 就 是 所 谓 的 慢 开 始 算法 。 

慢 开始 的 工作 过 程 (如 图 1-102 所 示 ): 通常 在 刚刚 开始 发 送 报 文 段 时 可 先 将 拥塞 窗 
口 cwnd 设置 为 一 个 最 大 报 文 段 MSS 的 数值 。 而 在 每 收 到 一 个 对 新 的 报 文 段 的 确认 后 ， 
将 拥塞 窗口 增加 至 多 一 个 MSS 的 数值 .用 这 样 的 方法 逐步 增 大 发 送 端的 拥塞 窗口 cwnd， 
可 以 使 分 组 注入 到 网 络 的 速率 更 加 合理 。 


i 
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报 文 段 1 


确认 3 


1-102” 慢 开始 算法 


第 1 章 计算 机 网 络 原理 173 


当然 ， 在 这 种 机 制 下 ， 拥 塞 窗口 也 不 会 一 直 成 指数 增长 ， 通 常会 设置 一 个 慢 开始 门 
限 值 ssthresh， 当 拥塞 窗口 达到 此 值 时 ， 就 变 为 线性 增长 ， 执 行 拥塞 避免 算法 。 在 整个 过 
程 中 一 旦 出 现 数据 传输 超时 ， 就 会 把 拥塞 窗口 重新 回 到 1， 并 再 次 开始 慢 开 始 算法 。 

2) 快 重 传 和 快 恢复 

快 重 传 和 快 恢 复 是 TCP 拥塞 控制 机 制 中 为 了 进一步 提高 网 络 性 能 而 设置 的 两 个 
算法 。 

快 重 传 算法 规定 ， 发 送 端 只 要 一 连 收 到 三 个 重复 的 ACK 即 可 断定 有 分 组 丢失 了 ， 
就 应 立即 重 传 丢失 的 报 文 段 而 不 必 继 续 等 待 为 该 报 文 段 设 置 的 重 传 计时 器 的 超时 ， 如 
图 1-103 所 示 。 不 难看 出 ， 快 重 传 并 非 取 消 重 传 计时 器 ， 而 是 在 某 些 情况 下 可 更 早 地 重 
传 丢 失 的 报 文 段 ， 从 而 提高 吞吐 率 。 


发 送 端 接收 端 

M1 报 文 段 

M2 报 文 段 站 AcCK MI 报 文 段 
M3 报 文 段 广 一 | 。 ACK M2 报 文 段 
M4 报 文 段 国 |。 Ack M3 报 文 段 
M5 报 文 段 

ee ACK M3 报 文 段 
M7 报 文 段 网 ACK M3 报 文 自 
M8 报 文 段 国 一 | 。 AcK M3 报 文 段 
M4 报 文 段 六 | 


1-103” 快 重 传 算法 


快 恢复 算法 是 和 快 重 传 算法 相配 合 的 算法 。 在 采用 快 恢复 算法 时 ， 慢 开始 算法 只 是 
在 TCP 连接 建立 时 和 网 络 出 现 超时 时 才 使 用 。 其 工作 要 点 为 : 当 发 送 方 连续 收 到 三 个 重 
复 的 报 文 段 确认 时 ， 就 把 慢 开 始 门限 值 缩 小 一 半 ， 并 执行 拥塞 避免 算法 一 一 线性 增加 拥 
塞 窗口 。 


174 网 络 规划 设计 师 教 程 


3) 随机 早期 检测 RED 

TCP 拥塞 管理 的 另 一 种 方法 是 预防 性 分 组 丢弃 。 使 用 这 种 方法 ， 路 由 器 在 输出 缓存 
完全 装 满 之 前 ， 即 网 络 发 生 拥 塞 之 前 ， 准 确 地 说 是 在 检测 到 网 络 拥塞 的 早期 征兆 时 路 
由 器 的 平均 队列 长 度 超过 一 定 的 门限 值 ), 就 丢弃 一 个 或 多 个 分 组 , 以 便 改进 网 络 的 性 能 。 
预防 性 分 组 丢弃 的 最 重要 的 例子 是 随机 早期 检测 。 

(1) 随机 早 丢 弃 RED 产生 的 背景 。 

因为 当 网 络 上 出 现 拥塞 时 ， 路 由 器 的 缓存 由 于 充满 而 开始 丢弃 分 组 。 对 于 TCP 通信 
量 ， 这 是 进入 慢 开始 阶段 的 一 个 信号 。 但 在 这 种 情况 下 有 两 个 困难 

Q@ 丢失 的 分 组 必须 重 传 ， 这 又 增加 了 网 络 的 负荷 ， 并 导致 TCP 流 增 加 了 明显 的 
时 延 。 

@ 全 局 同步 的 现象 。 由 于 出 现 拥塞 而 丢弃 很 多 分 组 。 可 能 出 现 的 结果 是 有 许多 的 
TCP 连接 受到 影响 ， 接 着 进入 了 慢 开 始 。 这 样 会 引起 网 络 通信 量 的 急剧 下 降 ， 所 以 在 一 
段 时 间 内 ， 网 络 处 在 不 必要 的 低 利 用 率 的 状况 。 因 为 许多 TCP 连接 在 大 约 同一 时 刻 进 入 
慢 开始 , 它们 也 将 在 大 约 同 一 时 刻 脱 离 慢 开始 , 而 这 将 引起 另 一 个 大 的 突 发 和 另 一 个 “ 盛 
宴 与 饥荒 ”的 循环 。 

(2) 随机 早 丢弃 RED 算法 。 

RED 算法 ， 路 由 器 在 输出 缓存 完全 装 满 之 前 ， 就 随机 丢弃 一 个 或 多 个 分 组 ， 避 免 了 
发 生 全 局 性 拥塞 的 现象 ， 使 得 拥塞 控制 只 是 在 个 别 的 TCP 连接 上 进行 。 

在 这 个 算法 中 , 路 由 器 的 队列 维持 两 个 参数 , 即 队 列 长 度 最 小 门限 THmin 和 最 大 门 
限 THmax。RED 对 每 一 个 到 达 的 数据 报 都 先 计 算 平 均 队列 长 度 LAV。 

@ 若 平均 队列 长 度 小 于 最 小 门限 THmin, 则 将 新 到 达 的 数据 报 放 入 队列 进行 排队 。 

@ 若 平均 队列 长 度 超过 最 大 门限 THmax， 则 将 新 到 达 的 数据 报 丢 弃 。 

@ 若 平均 队列 长 度 在 最 小 门限 THmin 和 最 大 门限 THmax 之 间 , 则 按照 某 一 概率 
2 将 新 到 达 的 数据 报 丢 弃 。 

这 里 需要 注意 的 关键 问题 是 最 小 门限 THmin、 最 大 门限 THmax 和 概率 p 的 选择 。 

6. 无 线 TCP 

由 于 移动 计算 机 环境 存在 着 BER 高 、 带 宽 低 、 移动 性 及 能 量 有 限 等 特点 , 使 得 原本 
为 固定 主机 、 有 线 网 络 设 计 的 TCP 协议 在 这 种 环境 下 出 现 了 很 多 不 适应 的 问题 。 即 使 在 
拥塞 控制 机 制 不 断 改进 的 情况 下 ，TCP 在 无 线 网 络 中 的 传输 性 能 仍 无 根本 提高 。 针 对 无 
线 网 络 的 TCP 方案 大 致 可 以 划分 为 三 类 : 

。 端 到 端 方案 (end-to-end scheme)。 

。 分 段 连接 方案 (split connection scheme)。 

。 数据 链 路 层 方案 (link-layer scheme )。 

端 到 端 方案 需要 对 TCP 协议 进行 修改 ， 由 TCP 发 送 端 对 传输 过 程 中 发 生 的 不 同 错 
误 进行 处 理 ， 使 得 发 送 端 能 有 效 处 理 各 种 移动 环境 下 造成 的 数据 包 丢 失 。 分 段 连接 方案 
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通过 在 基站 终止 TCP 连接 而 对 有 线 网 络 隐藏 无 线 链 路 。 这 种 方案 通过 在 基站 将 源 端 和 目 
的 端的 TCP 连接 分 为 两 个 独立 的 部 分 来 实现 。 也 就 是 一 个 TCP 连接 是 在 有 线 网 络 和 基 
站 之 间 ， 另 一 个 TCP 连接 是 在 基站 和 移动 设备 之 间 。 第 一 个 连接 使 用 的 是 传统 的 TCP 
协议 ， 第 二 个 TCP 连接 也 就 是 无 线 链 路 上 的 连接 可 以 使 用 经 过 修改 的 TCP 协议 ， 从 而 
增强 处 理 无 线 链 路 上 各 种 错误 的 能 力 。 数 据 链 路 层 方案 的 目的 是 通过 将 局 部 重 传 〈local 
retransmission) 机 制 和 前 向 错误 纠正 〈Forward Error Correction，FEC) 机 制 结合 起 来 以 
对 TCP 源 端 隐藏 各 种 和 无 线 链 路 相关 的 分 组 丢失 。 

1) 端 到 端 方案 

端 到 端 方案 需要 对 TCP 协议 进行 修改 ， 由 TCP 发 送 端 对 传输 过 程 中 发 生 的 不 同 错 
误 进 行 处 理 ， 使 得 发 送 端 能 有 效 处 理 各 种 移动 环境 下 造成 的 数据 包 丢 失 。 这 种 方案 的 目 
的 是 使 TCP 发 送 端 能 够 区 分 拥塞 相关 的 数据 包 丢 失 和 其 他 形式 的 数据 包 丢 失 。 只 有 当 网 
络 拥塞 发 生 时 ，TCP 拥塞 控制 处 理 过 程 才 被 激活 ， 而 对 于 其 他 形式 的 丢 包 则 执行 其 他 错 
误 恢复 处 理 过 程 。 

传输 协议 的 核心 问题 是 错误 控制 问题 ， 包 括 错 误 检 测 和 错误 恢复 问题 。 端 到 端 方案 
中 的 错误 检测 可 以 分 为 两 大 类 : 隐 式 错误 检测 和 显 式 错误 通知 。 在 错误 恢复 过 程 中 采取 
对 不 同 的 丢 包 原因 采取 不 同 的 恢复 办 法 。 

这 种 端 到 端 方案 的 优点 是 保持 了 TCP 的 端 到 端 语 义 〈semantics)。 缺 点 是 需要 对 固 
定 网 络 主机 上 的 TCP 算法 进行 改动 , 并 且 如 果 要 对 Intemet 上 现存 的 所 有 TCP 应 用 进行 
修改 是 一 件 及 其 困难 的 事情 。 

2) 分 段 连接 方案 

分 段 连接 方案 通过 在 基站 终止 TCP 连接 而 对 有 线 网 络 隐藏 无 线 链 路 。 这 种 方案 通过 
在 基站 将 源 端 和 目的 端的 TCP 连接 分 为 两 个 独立 的 部 分 来 实现 。 也 就 是 一 个 TCP 连接 
是 在 有 线 网 络 和 基站 之 间 ， 另 一 个 TCP 连接 是 在 基站 和 移动 设备 之 间 。 第 一 个 连接 使 用 
的 是 传统 的 TCP 协议 ， 第 二 个 TCP 连接 也 就 是 无 线 链 路 上 的 连接 可 以 使 用 经 过 修改 的 
TCP 协议 ， 从 而 增强 处 理 无 线 链 路 上 各 种 错误 的 能 力 。 

这 种 方案 是 基于 局 部 问题 局 部 解决 的 思想 , 也 就 是 由 于 无 线 /移动 的 原因 造成 的 错误 
应 该 对 固定 主机 ( 源 端 ) 屏蔽 ， 从 而 无 须 修改 固定 主机 上 的 TCP 协议 。 

分 段 连接 方案 由 于 基站 维持 了 两 段 连接 ， 因 此 必须 缓冲 大 量 的 状态 信息 ， 包 括 连 接 
控制 信息 和 未 确认 数据 包 。 当 业务 量 很 大 时 ， 基 站 的 负荷 会 变 得 非常 重 ， 而 且 需 要 更 大 
的 缓冲 区 。 如 果 移 动 设备 频繁 地 切换 ， 基 站 之 间 状 态 信 息 的 传输 会 带 来 较 大 时 延 ， 导 致 
丢 包 。 

3) 数据 链 路 层 方案 

数据 链 路 层 方案 的 目标 是 通过 在 无 线 链 路 上 进行 重 传 或 错误 纠正 来 屏蔽 不 可 靠 的 
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无 线 链 路 对 有 线 网 络 的 影响 。 其 优点 是 可 以 独立 于 高 层 协议 而 提高 数据 传输 的 可 靠 性 ， 
并 且 无 须 保留 每 次 连接 的 状态 信息 。 目 前 常用 的 两 种 链 路 层 纠 错 技术 为 : 前 向 错误 纠正 
(FEC) 及 自动 重 传 请 求 (ARQ) 技术 。 当 丢 包 不 是 很 频繁 并 且 时 延 不 是 很 敏感 时 ，ARQ 
是 一 种 非常 有 效 的 方法 : 缺点 是 可 能 会 和 TCP 重 传 机 制 互相 影响 。FEC 的 优点 是 发 送 时 
包含 了 一 些 宛 余 信息 ， 以 便 能 够 恢复 损毁 的 包 ， 这 对 于 时 延 较 长 的 情况 非常 有 利 ， 而 且 
FEC 不 会 和 TCP 的 重 传 机 制 相互 影响 。FEC 的 缺点 是 信道 利用 率 不 高 ， 并 且 还 需要 额 
外 花费 时 间 和 存储 空间 。 

7. UDP 协议 

1) UDP 的 特点 

UDP 只 在 IP 的 数据 报 服务 之 上 增加 了 很 少 一 点 的 功能 , 即 端口 的 功能 和 差错 检测 
的 功能 。 虽 然 UDP 用 户 数据 报 只 能 提供 不 可 靠 的 交付 ， 但 UDP 在 某 些 方面 有 其 特殊 
的 优点 : 

。 发 送 数据 之 前 不 需要 建立 连接 。 

。 UDP 的 主机 不 需要 维持 复杂 的 连接 状态 表 。 

。 UDP 用 户 数 据 报 只 有 8 个 字 节 的 首部 开销 。 

。 网 络 出 现 的 拥塞 不 会 使 源 主机 的 发 送 速率 降低 。 这 对 某 些 实时 应 用 是 很 重要 的 。 

TCP 协议 和 UDP 协议 的 应 用 如 表 1-9 所 示 。 


表 1-9 TCP 协议 和 UDP 协议 的 应 用 


应 用 运输 层 协议 
名 字 转 换 UDP 
文件 传送 UDP 
路 由 选择 协议 | RP UDP 
2 一 
网 络 管理 SNMP UDP 
远程 文件 服务 器 NFS UDP 
卫 电话 专用 协议 UDP 
流 式 多 媒体 通信 专用 协议 UDP 
多 播 IGMP UDP 
电子 邮件 SMTP TCP 
远程 终端 接 入 TCP 
万 维 网 TCP 
文件 传送 TCP 


2) UDP 用 户 数据 包 的 首部 格式 
UDP 数据 包 格式 如 图 1-104 所 示 。 
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字 节 4 4 1 1 2 
| 源 们 地 址 目的 他 地 址 0 iy | UDP 长 度 
字 节 12 2 a 2 ee 
伪 首 部 源 端口 目的 端口 长 度 校 验 和 
| UDP 首部 数据 部 分 
— UDP 数据 报 一 
IP 首部 数据 部 分 
- 站 数据 报 -| 


图 1-104 UDP 数据 包 及 它 与 卫 数据 包 的 关系 


1.8.3 ”应 用 层 协议 


每 个 应 用 层 协议 都 是 为 了 解决 某 一 类 应 用 问题 ， 而 问题 的 解决 又 往往 是 通过 位 于 不 
同 主机 中 的 多 个 应 用 进程 之 间 的 通信 协同 工作 来 完成 的 。 应 用 层 的 具体 内 容 就 是 规定 应 
用 进程 在 通信 时 所 遵循 的 协议 。 
1.8.3.1 域名 系统 (DNS) 


域名 系统 DNS 的 功能 是 把 Intemet 中 的 主机 域名 解析 为 对 应 的 人 P 地 址 。 域 名 系统 
DNS 是 一 个 联机 分 布 式 数据 库 系统 。 工 作 方式 采用 客户 服务 器 方式 。 域 名 服务 器 是 运行 
域名 服务 器 程序 的 机 器 。 

1. DNS 名 字 空 间 

目前 ， 因 特 网 的 命名 方法 是 层次 树 状 结构 的 方法 。 采 用 这 种 命名 方法 ， 任 何 一 个 连 
接 在 因特网 上 的 主机 或 路 由 器 ,都 有 一 个 唯一 的 层次 结构 的 名 字 , 即 域名 (domain name)。 
域 是 名 字 空 间 中 一 个 可 被 管理 的 划分 。 域 可 以 继续 划分 为 子 域 ， 如 二 级 域 、 三 级 域 等 等 。 
域名 的 结构 由 若干 个 分 量 组 成 ， 各 分 量 之 间 用 点 〈 请 注意 ， 是 小 数 点 的 点 ) 隔 开 : 

…。 三 级 域名 . 二 级 域名 . 顶级 域名 

各 分 量 分 别 代 表 不 同 级 别 的 域名 。 

每 一 级 的 域名 都 由 英文 字母 和 数字 组 成 (不 超过 63 个 字符 ， 并 且 不 区 分 大 小 写字 
母 )， 完 整 的 域名 不 超过 255 个 字符 。 
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前 顶级 域名 (Top Level Domain，TLD) 有 国家 项 级 域名 、 国 际 顶 级 域名 、 通 用 
顶级 域名 三 大 类 。 最 早 的 顶级 域名 是 : .com 表示 公司 企业 、.net 表示 网 络 服务 机 构 、.org 
表示 非 赢利 性 组 织 、.edu 表示 教育 机 构 (美国 专用 )、.gov 表示 政府 部 门 (美国 专用 )、mil 
表示 军事 部 门 〈 美 国 专用 )。 

图 1-105 是 因特网 名 字 空 间 的 结构 图 。 


根 
顶级 域名 | T T T I T T T I T 
es biz nero icom vet om ody gov ml nto 
i | 
-级 域名 sina...ibm hp mot 


TT T TT 1 
hk js sh bj org net gov edu com ac 


四 级 域名 


mail csnetl ep ... 


图 1-105 因特网 的 名 字 空 间 


要 强调 指出 的 是 ， 因 特 网 的 名 字 空 间 是 按照 机 构 的 组 织 来 划分 的 ， 与 物理 的 网 络 无 

与 全 地 址 中 的 “ 子 网 ”也 没有 关系 。 

DNS 资源 记录 语法 : 

{name} {TTL} addr-class record-type record-specific-data 

。 name: 域 记录 的 名 字 。 通常 只 有 第 一 个 DNS 资源 记录 配置 name 栏 ， 对 于 区 域 文 
档 中 其 他 的 资源 记录 ，name 也 可 能 是 空白 ， 这 种 情况 下 ， 其 他 的 资源 记录 接受 
先前 的 资源 记录 的 名 字 。 

。 TTL: Live 栏 可 选择 的 时 间 。 指 定 该 数据 在 数据 库 中 保管 多 长 时 间 ， 此 栏 为 空 表 

示 默 认 的 生存 周期 在 授权 资源 记录 开始 中 指定 。 

addr-class: 地 址 类 。 大 范围 用 于 Intemet 地 址 和 其 他 信息 的 地 址 类 为 IN。 

record-type: 记录 类 型 。 常 为 A NS MX CNAME。 

。 record-specific-data: 记录 类 型 的 数据 。 

record-type 的 定义 如 表 1-10 所 示 。 


表 1-10 record-type 的 定义 
类 型 -4 值 
SOA StartofAuthority 该 区 的 参数 
A 主 的 他 地 址 32 位 整数 
MX 邮件 交换 优先 权 ， 域 


* 
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续 表 
类 型 家 ， 义 值 

NS 名 字 服 务 器 本 域 服务 器 名 

CNAME 规范 名 域名 

PTR 指针 卫 地 址 的 别名 

HINFO 主机 描述 CPU、OS 信息 

TXT 文本 ASCI 串 
3. 域名 服务 器 
可 以 把 域名 服务 器 分 为 根 域名 服务 器 、 顶 级 域名 服务 器 、 权 限 域 名 服务 器 和 本 地 域 

名 服务 器 4 种 不 同类 型 。 


(1) 根 域 名 服务 器 (root name server): 根 域名 服务 器 是 最 高 层次 的 域名 服务 器 。 每 
一 个 根 域名 服务 器 都 要 存 有 所 有 顶级 域名 服务 器 的 IP 地 址 和 域名 。 当 一 个 本 地 域名 服务 
器 对 一 个 域名 无 法 解析 时 ， 就 会 直接 找到 根 域名 服务 器 ， 然 后 根 域名 服务 器 会 告知 它 应 
该 去 找 哪 一 个 顶级 域名 服务 器 进行 查询 。 目 前 全 世界 共有 一 百 多 个 根 域名 服务 器 ， 这 样 
做 的 目的 是 满足 本 地 域名 服务 器 就 近 查 找 ,从 而 提高 DNS 查询 的 速度 和 合理 利用 Internet 
的 资源 。 

(2) 顶级 域名 服务 器 (TLD server): 顶级 域名 服务 器 负责 管理 在 本 顶级 域名 服务 器 
上 注册 的 所 有 二 级 域名 。 当 收 到 DNS 查询 请 求 时 ， 能 够 将 其 管辖 的 二 级 域名 转换 为 该 
二 级 域名 的 他 地 址 。 或 者 是 下 一 步 应 该 找寻 的 域名 服务 器 的 了 P 地 址 。 

(3) 权限 域名 服务 器 (authoritative name server): DNS 采用 分 区 的 办 法 来 设置 域名 
服务 器 。 一 个 服务 器 所 管辖 的 范围 称 为 区 。 区 的 范围 小 于 或 等 于 域 的 大 小 。 各 个 单位 可 
以 根据 自己 单位 的 情况 来 划分 区 的 范围 。 每 一 个 区 都 设置 有 服务 器 ， 这 个 服务 器 叫 权限 
服务 器 , 它 负责 将 其 管辖 区 内 的 主机 域名 转换 为 该 主机 的 人 P 地 址 。 在 其 上 保存 有 所 管辖 
区 内 的 所 有 主机 域名 到 IP 地 址 的 映射 。 

(4) 本 地 域名 服务 器 (local name server): 也 称 为 默认 域名 服务 器 。 当 一 个 主机 发 
出 DNS 查询 报 文 时 ， 这 个 查询 报 文 就 首先 被 送 往 该 主机 的 本 地 域名 服务 器 。 当 选择 PC 
中 “Intemet 协议 (TCP/IP)” 的 “属性 ”， 就 可 看 到 DNS 地 址 的 选项 。 其 中 的 DNS 服务 
器 就 是 本 地 域名 服务 器 。 本 地 域名 服务 器 离 用 户 较 近 ， 一 般 不 超过 几 个 路 由 器 的 距离 。 
当 所 要 查询 的 主机 也 属于 同一 个 本 地 ISP 时 ， 该 本 地 域名 服务 器 立即 就 能 将 所 查询 的 主 
机 名 转换 为 它 的 他 地 址 ， 而 不 需要 再 去 询问 其 他 的 域名 服务 器 。 

4. 域名 解析 

域名 解析 过 程 的 要 点 : 当 某 个 应 用 进程 需要 把 某 个 主机 的 域名 解析 为 对 应 的 卫 地 址 
时 ， 它 将 调用 解析 程序 ， 成 为 DNS 的 客户 方 ， 并 把 要 解析 的 主机 域名 放 在 DNS 请 求 报 
文中 ， 然 后 使 用 UDP 用 户 数据 报 将 其 发 往 本 地 域名 服务 器 。 本 地 域名 服务 器 对 其 进行 
对 应 查询 ， 如 果 查 找 成 功 ， 就 将 结果 放 入 DNS 回答 报 文中 ， 同 样 使 用 UDP 用 户 数据 报 
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将 返回 给 请 求 方 。 

需要 再 次 强调 的 是 各 种 服务 器 之 间 的 查询 都 是 以 客户 服务 器 方式 进行 的 。 

在 域名 的 解析 过 程 中 ， 本 地 域名 服务 器 可 以 采用 递归 查询 和 和 从 代 查询 两 种 查询 
方式 。 

递归 查询 的 思想 : 当 某 个 主机 有 域名 解析 请 求 时 ， 它 总 是 首先 向 本 地 域名 服务 器 发 
出 查询 请 求 ， 如 果 本 地 域名 服务 器 知道 查询 结果 ， 那 么 它 将 把 结果 返回 给 请 求 者 ， 如 果 
本 地 域名 服务 器 不 知道 查询 结果 ， 它 将 作为 DNS 客户 方向 根 域名 服务 器 发 出 查询 请 求 。 
然后 由 根 域名 服务 器 去 完成 接 下 来 的 查询 。 图 1-106 给 出 了 一 个 递归 查询 的 例子 。 在 这 
个 例子 中 主机 whu.edu.cn 要 查询 域名 为 dry.ssd.com 的 人 P 地 址 。 

本 地 域名 服务 器 
dns.edu.cn 根 域名 服务 器 


whu.cdu.cn 


>- dry.ssd.com 和 
El © dry.ssd.com 
< 本 (@) 加 
人 


~ 
给 出 dry.ssd.com 的 他 


@ 
给 出 dry.ssd.com 的 卫 


© 
给 出 dry.ssd.com 的 了 9 
dry.ssd,com 


给 出 dry.ssd.com 的 下 
© 
(4 
dry.ssd.com 
权限 域名 服务 器 顶级 域名 服务 器 


dns.ssd.com dns.com 
1-106 ”本 地 域名 服务 器 的 递归 查询 


和 迭代 查询 的 思想 : 当 根 域名 服务 器 收 到 本 地 域名 服务 器 的 查询 请 求 时 ， 它 根据 查询 
请 求 告诉 本 地 域名 服务 器 下 一 步 应 该 去 查询 的 顶级 域名 服务 器 的 瑟 地 址 ; 接着 本 地 域名 
服务 器 到 该 顶级 域名 服务 器 进行 查询 ， 若 顶级 域名 服务 器 能 够 给 出 查询 结果 ， 那 么 它 会 
把 结果 传送 给 本 地 域名 服务 器 ， 否 则 它 会 告诉 本 地 域名 服务 器 下 一 步 应 该 查询 的 权限 域 
名 服务 器 的 全 地 址 ; 本 地 域名 服务 器 就 这 样 和 迭代 进行 查询 , 直到 最 后 查 到 了 所 需要 的 卫 
地 址 ， 然 后 把 结果 反馈 给 发 起 查询 的 主机 。 图 1-107 给 出 了 一 个 迭代 查询 的 例子 。 同 样 
还 是 主机 whu.edu.cn 要 查询 域名 为 dry.ssd.com 的 他 地 址 。 
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一 whu.edu.cn 
本 


QD 


把 dry.ssd.com 的 IP 给 解析 器 dry.ssd.com 


dry.ssd.com dry.ssd.com 
二 本 
给 出 dns.com 的 卫 | 


权限 域名 服务 器 


图 1-107 本 地 域名 服务 器 采用 迭代 查询 


另外 ， 在 域名 服务 器 中 常常 使 用 高 速 缓存 来 提高 DNS 的 查询 效率 。 主机 和 每 个 域 
名 服务 器 都 维护 一 个 高 速 缓存 ， 存 放 最 近 查 询 过 的 域名 以 及 从 何 处 获得 域名 映射 信息 的 
记录 。 当 有 域名 解析 请 求 时 ， 首 先 在 自己 的 高 速 缓存 中 查找 ， 若 没有 才 向 其 他 域名 服务 
器 求助 。 为 了 维护 最 新 的 高 速 缓存 中 的 记录 ， 高 速 缓存 中 的 记录 隔 一 段 时 间 还 要 进行 清 
除 处 理 。 

S. DNS 报 文 格式 

报 文 由 12 字 节 的 首部 和 4 个 长 度 可 变 的 字段 组 成 〈 如 图 1-108 所 示 )。 标 识字 段 由 
客户 程序 设置 并 有 服务 器 返回 结果 。 

QR: 0 表示 查询 报 文 ，1 表示 响应 报 文 。 

Opcode: 通常 值 为 0 (标准 查询 )， 其 他 值 为 1 ( 反 向 查询 ) 和 2 (服务 器 状态 请 求 )。 

AA: 表示 授权 回答 (authoritative answer )。 

TC: 表示 可 截断 的 (truncated)。 

RD: 表示 期 望 递归 。 
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RA: 表示 可 用 递归 。 


随后 3bit 必须 为 0。 
Rcode: 返回 码 ， 通 常 为 0 (没有 差错 ) 和 3 〈 名 字 差 错 )。 
[QR T opcode T AMTTCTRDTRAT Ce T Reode 
1™~ 4 1 1 1 1 3 4 
0 6 16 3 
标识 标志 
问题 数 资源 记录 数 
授权 资源 记录 数 额外 资源 记录 数 
查询 问题 12 字 节 


回答 (资源 记录 数 可 变 ) 
授权 资源 记录 数 可 变 ) 
额外 信息 (资源 记录 数 可 变 ) 


图 1-108 DNS 的 报 文 格式 


1.8.3.2 ”电子 邮件 协议 


电子 邮件 〈E-mail) 是 因特网 上 使 用 得 最 多 的 和 最 受用 户 欢 迎 的 一 种 应 用 。 电 子 邮 
件 将 邮件 发 送 到 ISP 的 邮件 服务 器 ， 并 放 在 其 中 的 收 信人 邮箱 (mailbox) 中 ,， 收 信人 可 
随时 上 网 到 ISP 的 邮件 服务 器 进行 读 取 。 电 子 邮 件 不 仅 使 用 方便 ， 而 且 还 具有 传递 迅速 
和 费用 低廉 的 优点 。 现 在 电子 邮件 不 仅 可 传送 文字 信息 。 而 且 还 可 附 上 声音 和 图 像 。 

1. 邮件 系统 功能 

电子 邮件 系统 的 主要 功能 包括 撰写 、 显 示 、 处 理 、 传 输 和 报告 5 项 基本 功能 。 其 中 
撰写 、 显 示 、 处 理 是 用 户 代理 至 少 应 当 具 有 的 三 个 功能 ， 而 传输 和 报告 是 邮件 服务 器 应 
该 具备 的 功能 。 

。 撰写 : 给 用 户 提 供 很 方便 地 编辑 信件 的 环境 。 

。 显示 : 能 方便 地 在 计算 机 屏幕 上 显示 出 来 信 (包括 来 信 附 上 的 声音 和 图 像 )。 

。 处 理 : 处 理 包括 发 送 邮件 和 接收 邮件 。 收 信人 应 能 根据 情况 按 不 同方 式 对 来 信 进 
行 处 理 。 例 如 ， 阅 读 后 删 除 、 存 盘 、 转 发 等 ， 对 于 不 愿 收 的 信件 可 直接 在 邮箱 中 
删除 。 

。 传输 : 包括 发 送 和 接收 。 发 送 是 把 邮件 从 邮件 发 送 者 的 PC 中 发 送 到 本 地 邮件 服 
务 器 ， 以 及 从 本 地 邮件 服务 器 传送 到 目的 邮件 服务 器 的 过 程 。 接 收 是 把 邮件 从 目 
的 邮件 服务 器 传送 到 接收 邮件 用 户 的 PC 中 的 过 程 。 

。 报告 : 是 邮件 服务 器 向 发 信人 报告 邮件 传送 的 情况 。 如 已 发 送 成 功 、 发 送 失败 等 。 

2. 体系 结构 

体系 结构 中 包括 用 户 人 代理、 邮件 服务 器 、 消 息 传输 代理 和 邮件 协议 (如 图 1-109 

所 示 )。 
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邮件 服务 器 


消息 传输 代理 


< 
< 


用 户 代理 的 功能 前 面 已 经 讲 过 ， 邮 件 服务 器 的 功能 是 用 于 存储 邮件 ， 这 里 消息 传输 
代理 的 功能 就 是 实现 前 面 所 说 的 传输 和 报告 ， 邮 件 协 议 有 发 送 协议 SMTP、 接 收 协议 
POP3/IMAP4。 关 于 邮件 协议 的 功能 在 下 面 内 容 叙 述 。 

3. 邮件 格式 

一 个 电子 邮件 分 为 信封 、 首 部 和 主体 〈 正 文 )， 首 部 和 主体 也 称 为 内 容 部 分 。 首 部 
需要 用 户 填 写 , 首部 写 好 后 邮件 系统 将 自动 地 将 信封 所 需 的 信息 提取 出 来 并 写 在 信封 上 。 
所 以 用 户 不 需要 填写 电子 邮件 信封 上 的 信息 。 邮 件 的 主体 部 分 由 用 户 自由 撰写 。 

(1) RFC 822 对 邮件 的 首部 格式 做 了 规定 ， 如 表 1-11 所 示 。 


表 1-11 RFC 822 邮件 头 所 用 的 一 些 关键 词 


消息 传输 代理 


上 胜 方 了 而 
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关 键 字 含义 
TO: 第 一 收 信人 的 电子 邮件 地 址 
Ce: 第 二 收 信人 的 电子 邮件 地 址 
From: 撰写 邮件 的 个 人 或 多 个 名 字 
Sender: 实际 发 信人 的 电子 邮件 地 址 
Date: 发 送 邮件 的 日 期 和 时 间 
Reply-To: 回信 应 送 达 的 电子 邮件 地 址 
Subject: 在 一 行 中 显示 一 个 邮件 的 简短 摘要 
Keywords: 用 户 选 择 的 关键 词 
Bee: 盲 抄 送 的 电子 邮件 地 址 
(2) 邮件 正文 。 


最 简单 的 内 容 编 码 就 是 7 位 ASCII 码 (SMTP 只 能 传送 这 种 编码 )， 而 且 每 行 不 能 
超过 1000 个 字符 。 
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用 户 在 撰写 邮件 时 一 般 都 是 使 用 自己 最 熟悉 的 语言 文字 ， 但 是 这 种 文本 不 能 
SMTP 传送 ， 而 且 二 进 制 文件 和 可 执行 文件 同样 也 不 能 被 SMTP 传送 。 

但 是 在 通用 Intemet 邮件 扩充 MIME 中 定义 了 传送 非 ASCII 码 的 编码 规则 。MIME 
的 内 容 传送 编码 规则 有 Base64 和 Quoted-printable encoding。 

Base64 编码 : 适用 于 传送 任意 的 二 进 制 文件 。 具 体 编 码 规则 如 下 : 

第 一 步 ， 将 二 进 制 代 码 划 分 为 一 个 个 24bit 长 度 的 单元 。 

第 二 步 ， 将 每 一 个 24bit 单元 划分 为 4 个 6bit 组 。 每 一 个 6bit 组 按 以 下 方法 转换 成 
ASCII 码 。6bit 的 二 进 制 代码 共有 64 种 不 同 的 值 (0 一 63 )。 

先 排 大 写字 母 : A 表示 0，B 表示 1…… 

再 排 小 写字 母 : a 表示 26，b 表示 27…… 

再 排 10 个 数字 : 0 表示 52，1 表示 53…… 

最 后 十 表示 62，/ 表 示 63 。 

例 : 有 二 进 制 代 码 : 00110100 01000100 11001000 

解 ， 先 划分 为 4 个 6bit 分 组 : 


001101 000100 010011 001000 
对 应 的 Base64 编码 : N E T 8 
最 后 要 传送 的 ASCII: 01001110 01000101 01010100 00001000 


Quoted-printable 编码 : 适用 于 当 所 传送 的 数据 中 只 有 少量 的 非 ASCII 码 。“=” 和 
不 可 打印 的 ASCII 码 以 及 非 ASCII 码 的 数据 的 编码 规则 为 : 先 将 每 个 字 节 的 二 进 制 代 码 
用 两 个 十 六 进 制 数字 表示 ， 然 后 在 前 面 加 上 一 个 “=”， 简 单 地 说 就 是 ASCII 码 大 于 127 
的 字符 替换 为 “=” 及 两 个 十 六 进 制 数 。“=” 的 Quoted-printable 编码 为 “3D”。 
例如 ; 武汉 的 二 进 制 编码 为 : 11001110 11100100 10111010 10110101 
对 应 的 十 六 进 制 编码 : CE E4 BA BA 
Quoted-printable 编码 : 3DCE 3DE4 3DBA 3DBA 
4. 邮件 发 送 与 接收 协议 
1) SMTP 发 送 协议 
SMTP 的 工作 方式 也 是 客户 服务 器 的 方式 。 负 责 发 送 邮件 的 SMTP 进程 就 是 SMTP 
客户 ， 负 责 接 收 邮件 的 SMTP 进程 是 SMTP 服务 器 。 它 在 传输 层 使 用 TCP 协议 进行 
传输 。 
SMTP 规定 在 两 个 相互 通信 的 SMTP 进程 之 间 应 如 何 交 换 信息 。 
它 规定 了 14 条 命令 和 三 类 应 答 信息 。 每 条 命令 用 4 个 字母 组 成 。 
Q@ SMTP 命令 集 。 
HELO: 发 送 身份 标识 。 
MAIL: 识别 邮件 发 起 方 。 
RCPT: 识别 邮件 接收 方 。 
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DATA: 传送 报 文 文本 。 

RSET: 放弃 当前 邮件 事物 。 

NOOP: 无 操作 。 

QUIT: 关闭 TCP 连接 。 

SEND: 向 终端 发 送 邮件 。 

SOML: 若 可 能 向 终端 发 送 邮件 ， 否 则 发 往 信箱 。 

SAML: 向 终端 和 信箱 发 送 邮 件 。 

VRFY: 证 实用 户 名 。 

EXPN: 返回 邮件 发 送 清单 的 成 员 。 

HELP: 发 送 帮助 文档 。 

TURN: 颠倒 发 送 方 和 接收 方 的 角色 。 

@ SMTP 应 答 码 包括 肯 定 、 暂 时 和 否定、 永久 否定 三 大 类 。 

@ 建立 连接 。 

第 一 步 ， 使 用 SMTP 的 熟知 端口 号 码 (25) 与 目的 主机 的 SMTP 服务 器 建立 TCP 
连接 (不 使 用 中 间 服 务 器 )。 

第 二 步 ， 接 收 程序 通过 应 答 220 标识 自己 就 绪 。 

第 三 步 ， 发 送 程序 发 送 HELO 标识 自己 。 

第 四 步 ，SMTP 服务 器 若 有 能 力 接收 邮件 ， 则 回答 “250 OK” 表示 已 准备 好 接收 。 
若 SMTP 服务 器 不 可 用 ， 则 回答 “421 Service not available (服务 不 可 用 )”。 

@ 传送 。 

第 一 步 ， 用 一 个 MAIL 命令 标识 报 文 发 起 方 。 

第 二 步 ， 用 一 个 或 多 个 RCPT 命令 标识 报 文 的 接收 方 。 

第 三 步 ， 用 一 个 DATA 命令 传送 报 文 文本 。 

@@ 释放 连接 。 

第 一 步 ， 发 送 一 个 QUIT 命令 ， 并 等 待 应 答 。 

第 二 步 ， 关 闭 TCP 连接 。 

2) 接收 协议 

(1) POP3。 

POP3 也 使 用 客户 服务 器 的 工作 方式 。 在 接收 邮件 的 用 户 PC 中 必须 运行 POP 客户 
程序 , 而 在 用 户 所 连接 的 ISP 的 邮件 服务 器 中 则 运行 POP3 服务 器 程序 。POP3 服务 器 具 
有 身份 鉴别 功能 ， 用 户 只 有 输入 鉴别 信息 后 才 允 许 对 邮箱 进行 读 取 ， 另 外 它 还 具有 从 服 
务 器 读 取 邮件 并 存放 到 本 地 机 器 上 以 及 对 邮件 删除 、 备 份 等 其 他 操作 功能 。 

POP3 也 使 用 TCP 协议 ， 对 邮件 进行 传输 。 

POP3 协议 的 一 个 特点 就 是 只 要 用 户 从 POP 服务 器 读 取 了 邮件 ，POP 服务 器 就 将 该 
邮件 删除 了 。 
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(2) IMAP。 

IMAP 是 一 个 联机 协议 。 当 用 户 PC 上 的 IMAP 客户 程序 打开 IMAP 服务 器 的 邮箱 
时 ,用 户 就 可 看 到 邮件 的 首部 。 用户 打开 某 个 邮件 时 ， 那 个 邮件 才 传 到 用 户 的 计算 机 上 。 
所 以 用 户 可 以 在 不 同 的 地 方 使 用 不 同 的 计算 机 反复 阅读 自己 的 邮件 ， 直 到 用 户 发 出 删除 
邮件 的 命令 ，IMAP 服务 器 邮箱 中 的 邮件 会 一 直 保存 着 。 

5. 邮件 保密 

电子 邮件 中 有 时 会 有 一 些 非常 隐私 的 东西 ， 但 电子 邮件 在 传输 过 程 中 除了 必须 到 达 
的 邮件 服务 器 外 ， 还 经 常 需 要 多 个 路 由 器 进行 转发 ， 所 以 邮件 的 保密 问题 就 成 为 一 个 值 
得 考虑 的 问题 。 

1) PGP 协议 

PGP 协议 是 1995 年 开发 的 。 虽 然 不 是 mntemet 的 正式 标准 ， 但 已 被 广泛 使 用 。PGP 
的 功能 包括 加 密 、 鉴 别 、 电 子 签名 和 压缩 等 技术 。 这 些 功能 保证 了 电子 邮件 的 安全 性 、 
报 文 完整 性 和 发 送 方 鉴 别 。 下 面 通过 一 个 例子 来 具体 说 明 PGP 的 工作 过 程 。 

假定 张 三 要 想 向 李 四 发 送 安全 电子 邮件 , 使 用 PGP 协议 来 保证 其 安全 性 。 发 送 方 张 
三 应 该 有 三 个 密 钥 : 自己 的 私 钥 Kpa， 李 四 的 公 钥 Kes， 自 己 生成 的 一 次 性 密 钥 K。 接 
收 方 李 四 需 要 两 把 密 钥 : 自己 的 私 钥 Kps 和 张 三 的 公 钥 Kea。 具 体 工作 过 程 如 下 。 

发 送 方 张 三 的 工作 : 

第 一 步 ， 使 用 MD5 对 所 发 邮件 的 明文 M 进行 摘要 运算 ， 结 果 为 (M)。 

第 二 步 , 张 三 使 用 自己 的 私 钥 Kpa 对 摘要 H (M) 进行 数字 签名 , 结果 为 E (H (M)， 
Kpays 

第 三 步 ， 把 E (H (M)，Kpa) 和 明文 M 拼接 在 一 起 ， 结 果 为 E (H (M)，Kpa) 
+M。 

第 四 步 ， 张 三 使 用 自己 生成 的 一 次 性 密 钥 KK 对 E (H (M)，Kpa) +M 进行 加 密 ，E 
(E (H (M), Kpa) +M, K). 

第 五 步 ， 使 用 李 四 的 公 钥 对 张 三 的 一 次 性 私 钥 进 行 加 密 ， 结 果 为 E (K，Kes)。 

第 六 步 ， 对 E (E (H (M)，Kpa) +M，K) 进行 压缩 ， 然 后 和 E (K，Kzs) 一 起 
发 送 给 李 四 。 

接收 方 李 四 的 工作 : 

第 一 步 ， 接 收 后 ， 把 压缩 文件 和 了 (K，Kss) 进行 分 开 ， 并 对 压缩 文件 进行 解压 缩 。 

第 二 步 ， 李 四 用 自己 的 私 钥 对 了 (K，KEes) 进行 解密 , D (E (K, Kgs), Kps) ~K。 

第 三 步 ， 李 四 用 密 钥 K 对 E (E (H (M)，Kpa) +M，K) 进行 解密 , D (E (E (H 
(MW), Kpa) +M, K)) =E (H (M), Kpa) +M。 

第 四 步 ， 把 E (H (M)，Kpa) +M 分开 为 E (H (M)，Kps) 和 M。 

第 五 步 ， 用 张 三 的 公 钥 对 E (H (M)，Kpa) 核实 签名 ， 得 到 结果 H C(M)。 

第 六 步 ， 李 四 对 明文 M 进行 MD5 的 摘要 运算 ， 得 到 结果 h (MD)。 
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第 七 步 ， 比 较 H(M) 和 h (M) 是 否 相等 。 如 果 相等 证 明 电 子 邮 件 是 张 三 发 的 。 
而 且 报 文 M 没有 被 算 改 ， 即 报 文 的 完整 性 得 到 检验 。 

2) PEM 协议 

PEM 是 因特网 的 邮件 加 密 建议 标准 ， 由 4 个 RFC 文档 来 描述 。 

。 RFC 1421: 报 文 加 密 与 鉴别 过 程 。 

。 RFC 1422: 基于 证 书 的 密 钥 管理 。 

。 RFC 1423: PEM 的 算法 、 工 作 方式 和 标识 符 。 

。 RFC 1424: 密 钥 证 书 和 相关 的 服务 。 

PEM 的 功能 和 PGP 的 差不多 ， 都 是 对 基于 RFC 822 的 电子 邮件 进行 加 密 和 鉴别 。 
每 个 报 文 都 是 使 用 一 次 一 密 的 方法 进行 加 密 ， 并 且 密 钥 也 是 放 在 报 文中 一 起 在 网 络 上 传 
送 。 对 密 钥 还 必须 加 密 ， 可 以 使 用 RSA 或 三 重 DES。PEM 有 比 PGP 更 完善 的 密 钥 管理 
机 制 。 由 证 书 管理 机 构 (Certificate Authority) 发 布 证 书 。 


1.8.3.3 ”文件 传输 协议 (FTP) 


1. FTP 概述 

FTP 的 主要 功能 是 减少 或 消除 在 不 同 操作 系统 下 处 理 文件 的 不 兼容 性 。 

FTP 的 主要 作用 就 是 让 用 户 连接 上 一 个 远程 计算 机 (这些 计 算 机 上 运行 着 FTP 服务 
器 程序 ) 查看 远程 计算 机 有 哪些 文件 ， 然 后 把 文件 从 远程 计算 机 上 复制 到 本 地 计算 机 ， 
或 把 本 地 计算 机 的 文件 送 到 远程 计算 机 去 。 

2. FTP 的 工作 过 程 

FTP 是 一 个 交互 会 话 的 系统 ， 在 进行 文件 传输 时 ，FTP 的 客户 和 服务 器 之 间 需 要 建 
立 两 个 TCP 连接 : 控制 连接 和 数据 连接 ， 如 图 1-110 所 示 。 


客户 系统 服务 器 系统 


服务 器 


有 入 全 数据 连接 


控制 连接 


图 1-110 FTP 的 两 个 TCP 连接 
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控制 连接 在 整个 会 话 期 间 一 直 打 开 , FTP 客户 发 出 的 传送 请 求 通过 控制 连接 发 送 给 
服务 器 端的 控制 进程 ， 但 控制 连接 不 用 来 传送 文件 。 用 于 传输 文件 的 是 数据 连接 。 服 务 
器 端的 控制 进程 在 接收 到 FTP 客户 发 送 来 的 文件 传输 请 求 后 就 创建 数据 传送 进程 和 数 
据 连 接 ， 用 来 连接 客户 端 和 服务 器 端的 数据 传送 进程 。 数 据 传 送 进程 在 完成 文件 的 传送 
后 ， 关 闭 数据 传送 连接 并 结束 运行 。 但 控制 连接 并 不 一 定 关闭 。 

FTP 使 用 客户 服务 器 方式 ， 在 传输 层 使 用 TCP 可 靠 的 服务 。 一 个 FTP 服务 器 进 
程 可 同时 为 多 个 客户 进程 提供 服务 。FTP 的 服务 器 进程 由 两 大 部 分 组 成 : 一 个 主 进程 ， 
负责 接收 新 的 请 求 ， 另外 有 若干 个 从 属 进程 ， 负 责 处 理 单个 请 求 。 

(1) 主 进程 的 工作 步骤 〈 接 收 请 求 ) 如 下 : 

@ 打开 端口 21。 

@ 监听 客户 的 请 求 。 

@ 收 到 请 求 后 启动 一 个 从 属 进程 处 理 客户 的 请 求 ， 从 属 进程 完成 后 自动 终止 。 

@ 回 到 监听 状态 。 

(2) 从 属 进程 的 工作 步骤 如 下 : 

Q@ 接收 主 进程 的 命令 ， 创 建 控制 进程 。 

@ 建立 与 客户 的 控制 连接 。 

@ 收 到 客户 从 控制 连接 发 来 的 传送 请 求 后 ， 创 建 数据 传送 进程 。 

@ 与 客户 建立 数据 连接 (端口 20)， 并 与 数据 传送 进程 关联 。 

@@ 数据 传送 进程 控制 数据 连接 及 其 传送 。 

传送 完毕 ， 释 放 数 据 连 接 ， 终 止 数据 进程 。 

@ 释放 控制 连接 ， 终 止 控制 进程 〈 一 般 由 客户 发 起 )。 

主 进程 与 从 属 进程 的 处 理 是 并 发 进行 的 。 

例如 : 一 个 主机 A 其 IP 地 址 为 202.114.4.6。 假 设 主机 A 的 1500 进程 向 某 个 FTP 
服务 器 (IP 地 址 为 202.113.225.1) 发 出 一 个 FTP 连接 请 求 。 另 外 1501 进程 用 来 建立 数 
据 连接 。FTP 服务 器 21 号 端口 接收 连接 请 求 ， 分 配 从 属 进程 1600， 接 着 插口 
(202.114.4.6:1500) 和 FTP 服务 器 插口 (202.113.225.1:1600) 建立 控制 连接 。 同 时 把 主 
机 A 的 1501 端口 号 通过 控制 连接 传送 给 FTP 服务 器 , FTP 服务 器 使 用 20 号 端口 和 该 进 
程 建立 数据 连接 ， 接 着 插口 〈202.114.4.6:15301) 和 FTP 服务 器 插口 〈202.113.225.1:20) 
建立 数据 连接 。 

上 述 例子 仅仅 是 FTP 工作 在 主动 模式 时 的 过 程 。 其实 FTP 支持 两 种 模式 , 一 种 方式 
叫做 Standard (也 就 是 PORT 方式 ， 主 动 方式 )， 一 种 是 Passive (也 就 是 PASV， 被 动 
方式 )。 Standard 模式 FTP 的 客户 端 发 送 PORT 命令 到 FTP 服务器。Passive 模式 FTP 
的 客户 端 发 送 PASV 命令 到 FTP 服务 器 。 

。 Port 模式 FTP 客户 端 首先 和 FTP 服务 器 的 TCP 21 端口 建立 连接 , 通过 这 个 通道 

发 送 命令 , 客户 端 需要 接收 数据 的 时 候 在 这 个 通道 上 发 送 PORT 命令 。 PORT 命 
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令 包 含 了 客户 端 用 什么 端口 接收 数据 。 在 传送 数据 的 时 候 ， 服 务 器 端 通过 自己 的 
TCP 20 端口 连接 至 客户 端的 指定 端口 发 送 数 据 。FTP 服务 器 必须 和 客户 端 建立 一 
个 新 的 连接 用 来 传送 数据 。 
Passive 模式 在 建立 控制 通道 的 时 候 和 Standard 模式 类 似 , 但 建立 连接 后 发 送 的 不 
是 Port 命令 ， 而 是 Pasv 命令 。FTP 服务 器 收 到 Pasv 命令 后 ， 随 机 打开 一 个 高 端 
端口 (端口 号 大 于 1024) 并 且 通 知客 户 端 在 这 个 端口 上 传送 数据 的 请 求 ， 客 户 端 
连接 FTP 服务 器 此 端口 ， 然 后 FTP 服务 器 将 通过 这 个 端口 进行 数据 的 传送 ， 这 
个 时 候 FTP 服务 器 不 再 需要 建立 一 个 新 的 和 客户 端 之 间 的 连接 。 

3. FTP 的 命令 

FTP 的 命令 主要 有 get，put，mput，mget 和 ls 等 等 。 

4. TFTP 

TFTP 是 一 个 很 小 且 易 于 实现 的 文件 传送 协议 。 它 的 工作 方式 也 采用 客户 服务 器 方 
式 ， 但 传输 层 使 用 UDP 数据 报 ， 因 此 TFTP 需要 有 自己 的 差错 改正 措施 。 

TFTP 只 支持 文件 传输 而 不 支持 交互 。TFTP 没有 一 个 庞大 的 命令 集 , 没有 列 目录 的 
功能 ， 也 不 能 对 用 户 进行 身份 鉴别 。 

TFTP 的 主要 特点 : 因为 工作 在 停止 等 待 方式 ， 每 个 报 文 需要 应 答 ; UDP 报 文 固定 
512B 长 ， 可 对 文件 进行 读 或 写 。 


1.8.3.4 ”远程 登录 协议 (Telnet) 


Telnet 是 Internet 的 登录 和 仿真 程序 。 基 本 功能 是 , 允许 用 户 登录 进入 远程 主机 系统 。 
目的 是 提供 一 个 相对 通用 的 ， 双 向 的 ， 面 向 8 位 字 节 的 通信 机 制 。 一 个 Telnet 连接 就 是 
一 个 用 来 传输 带 有 Telnet 控制 信息 数据 的 TCP 的 连接 。 
1. 基本 服务 
。 Telnet 定义 一 个 网 络 虚拟 终端 为 远 地 系 统 提供 一 个 标准 接口 。 客 户 机 程序 不 必 详 
细 了 解 远 地 系统 ， 它 们 只 需 构造 使 用 标准 接口 的 程序 。 
。 Telnet 包括 一 个 允许 客户 机 和 服务 器 协商 选项 的 机 制 ， 而 且 它 还 提供 一 组 标准 
选项 。 
。 Telnet 对 称 处 理 连 接 的 两 端 ， 即 Telnet 不 强迫 客户 机 从 键盘 输入 ， 也 不 强迫 客户 
机 在 屏幕 上 显示 输出 。 
2. 工作 过 程 
Telnet 远程 登录 服务 分 为 以 下 4 个 过 程 : 
。 本 地 与 远程 主机 建立 连接 。 该 过 程 实际 上 是 建立 一 个 TCP 连接 , 用 户 必须 知道 远 
程 主机 的 卫 地 址 或 域名 。 
。 将 本 地 终端 上 输入 的 用 户 名 和 口令 及 以 后 输入 的 任何 命令 或 字符 以 NVT (Net 
Virtual Terminal) 格式 传送 到 远程 主机 。 该 过 程 实际 上 是 从 本 地 主机 向 远程 主机 
发 送 一 个 卫 数 据 报 。 
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。 将 远程 主机 输出 的 NVT 格式 的 数据 转化 为 本 地 所 接受 的 格式 送 回 本 地 终端 ， 包 
括 输 入 命令 回 显 和 命令 执行 结果 。 
。 最 后 ， 本 地 终端 对 远程 主机 进行 撤销 连接 。 该 过 程 是 撤销 一 个 TCP 连接 。 


1.8.3.S ”Web 应 用 与 HTTP 协议 


1. Web 资源 组 织 方式 与 URL 

WWW 是 一 种 分 布 式 的 超 媒体 系统 ， 它 是 超 文本 (hypertext) 系统 的 扩充 。 一 个 超 
文本 由 多 个 信息 源 链接 成 。 利 用 一 个 链接 可 使 用 户 找 到 另 一 个 文档 。 这 些 文档 可 以 位 于 
世界 上 任何 一 个 接 在 因特网 上 的 超 文 本 系统 中 。 超 文本 是 万 维 网 的 基础 。 

WWW 基于 客户 /服务 器 模式 ， 它 改进 了 传统 的 客户 /服务 器 计算 模型 ， 将 原来 客户 
端 一 侧 的 应 用 程序 模块 与 用 户 界面 分 开 ， 并 将 应 用 程序 模块 放 到 服务 器 上 ， 形 成 基于 
Web 浏览 器 的 用 户 界面 、 应 用 程序 和 服务 程序 等 三 部 分 。 这 样 应 用 程序 可 独立 于 客户 端 
平台 ， 使 系统 具有 用 户 界 面 简单 、 地 理 、 系 统 间 的 可 移动 、 应 用 程序 间 可 移植 和 可 伸缩 

WWW 使 用 统一 资源 定位 符 (Uniform Resource Locator，URL) 来 标识 分 布 在 整个 
Intemet 上 的 文档 ， 所 谓 统一 资源 定位 符 就 是 用 于 完整 地 描述 Internet 上 网 页 和 其 他 资源 
的 地 址 的 一 种 标识 方法 。Intemet 上 的 每 一 个 网 页 都 具有 一 个 唯一 的 名 称 标识 ,通常 称 之 
为 URL 地 址 ， 这 种 地 址 可 以 是 本 地 磁盘 ， 也 可 以 是 局 域 网 上 的 某 一 台 计 算 机 ， 更 多 的 
是 Intemet 上 的 站 点 。URL 相当 于 一 个 文件 名 在 网 络 范围 的 扩展 。 因 此 URL 是 与 因 特 
网 相连 的 机 器 上 的 任何 可 访问 对 象 的 一 个 指针 。 

URL 采用 相同 的 基本 语法 ,无论 寻 址 哪 种 特定 类 型 的 资源 网页、 新闻 组 ) 或 描述 
通过 哪 种 机 制 获取 该 资源 。 语 法 如 下 : 

[protocol]://hostname[:port]/path/[;:parameters][?query]#fragment 

参数 说 明 如 下 。 
protocol( 协 议 ): 指定 使 用 的 传输 协议 ， 最 常用 的 是 HTTP 协议 ， 它 也 是 目前 
WWW 中 应 用 最 广 的 协议 。 
hostname (主机 名 ): 是 指 存放 资源 的 服务 器 的 域名 系统 (DNS) 主机 名 或 耳 地 址 。 
:port( 端 口号 ): 整数 ， 可 选 ， 省 略 时 使 用 方案 的 默认 端口 ， 各 种 传输 协议 都 有 
默认 的 端口 号 ， 如 http 的 默认 端口 为 80。 
path〈 路 径 ): 由 零 或 多 个 “/” 符 号 隔 开 的 字符 串 ， 一 般 用 来 表示 主机 上 的 一 个 
目录 或 文件 地 址 。 
; parameters (参数 ): 这 是 用 于 指定 特殊 参数 的 可 选项 。 
? query (查询 ): 可 选 ， 用 于 给 动态 网 页 〈 如 使 用 CGI 、ISAPI 、 
PHP/JSP/ASP/ASPNET 等 技术 制作 的 网 页 ) 传递 参数 ， 可 有 多 个 参数 ， 用 “区 ” 
符号 隔 开 ， 每 个 参数 的 名 和 值 用 “=” 符 号 隔 开 。 
fragment: 信息 片断 ， 字 符 串 ， 用 于 指定 网 络 资源 中 的 片断 。 例 如 一 个 网 页 中 有 
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多 个 名 词 解释 ， 可 使 用 fragment 直接 定位 到 某 一 名 词 解释 。 

2. Web 文档 形式 

World Wide Web 的 最 大 好 处 之 一 就 是 能 与 成 千 上 万 的 用 户 交互 以 获得 和 提供 不 同 
的 信息 。 由 于 这 种 信息 的 动态 本 质 ， 仅 有 静态 的 HTML 页 面 是 不 够 的 ， 因 此 需要 有 一 些 
方法 来 向 访问 Web 站 点 的 用 户 提供 动态 信息 。 

根据 文档 内 容 的 确定 时 间 ， 所 有 的 Web 文档 可 以 划分 为 三 类 。 

。 静态 Web 文档 : 静态 Web 文档 是 一 个 存在 于 Web 服务 器 上 的 HTML 文件 , 静态 

文档 的 作者 在 写作 的 时 候 决 定 文档 的 内 容 ， 由 于 文档 的 内 容 不 会 发 生变 化 ， 所 以 
对 静态 文档 的 每 一 次 访问 都 返回 相同 的 结果 。 

。 动态 Web 文档 : 动态 Web 文档 不 存在 一 个 预先 定义 的 格式 ， 相 反 ， 动 态 文档 在 
浏览 器 访问 Web 服务 器 时 创建 。 当 一 个 请 求 到 达 时 , Web 服务 器 运行 一 个 应 用 程 
序 创建 所 需 的 动态 Web 文档 ， 服 务 器 返回 程序 的 输出 作为 对 浏览 器 请 求 的 应 答 。 
由 于 每 次 访问 都 要 创建 新 的 文档 ， 所 以 动态 文档 的 内 容 是 变化 的 。 
活动 Web 文档 : 一 个 活动 Web 文档 不 完全 由 服务 器 一 端 规定 ， 相 反 ， 一 个 活动 
Web 文档 可 以 包括 一 个 计算 和 显示 值 的 程序 。 当 浏览 器 访问 活动 文档 时 ， 服 务 器 
返回 一 个 浏览 器 可 以 执行 的 程序 副本 ， 返 回 以 后 ， 活 动 文档 可 以 和 用 户 交互 执行 
并 不 停 地 改变 显示 。 

3. 超 文本 传输 协议 (HTTP) 

1) 重要 术语 

源 服务 器 (origin server): 请 求 或 者 将 要 创建 的 资源 所 在 的 服务 器 。 

代理 服务 器 (proxy): @ 代理 客户 发 出 请 求 ，@ 代理 源 服务 器 应 答 。 

连接 : 在 两 个 应 用 程序 之 间 建 立 的 TCP 连接 。 

Cache: 存放 被 请 求 过 的 内 容 。 

用 户 代理 (user agent): 发 出 请 求 的 客户 程序 。 

实体 : 某 个 数据 资源 的 特定 表示 或 解释 。 

2) HTTP 协议 工作 原理 

为 了 使 超 文本 的 链接 能 够 高 效率 地 完成 , 需要 用 HITP 协议 来 传送 一 切 必须 的 信息 。 
从 层次 的 角度 看 ，HTTP 是 面向 事务 的 (transaction-oriented) 应 用 层 协 议 ， 它 使 用 TCP 
连接 进行 可 靠 的 传送 。HTTP 是 一 个 无 状态 的 协议 ， 即 服务 器 向 客户 机 发 送 被 请 求 的 文 
件 时 ， 并 不 存储 任何 关于 该 客户 机 的 状态 信息 。HTTP 协议 定义 了 Web 客户 机 是 如 何 向 
Web 站 点 请 求 Web 页 ， 以 及 服务 器 如 何 将 Web 页 传送 给 客户 机 的 。 

3) HTTP 报 文 结构 

Q@ 请 求 报 文 格式 如 图 1-111 所 示 。 
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方法 空格 URL [ss [版 + [| i | 
首部 字段 名 “| : | 空 阁 | 什 | | 
首部 字段 名 ”| : | 空 洛 | 什 
实体 主体 实体 主体 部 分 


图 1-111 HTTP 请 求 报 文 格 式 


请 求 报 文中 有 关 信 息 如 表 1-12 所 示 。 
表 1-12 ”请求 报 文中 有 关 信 息 


请 求 报 文 
请 求 方式 请 求 首部 字段 
OPTIONS MOVE Accept If-Modified-Since 
GET DELETE Accept-Charset Proxy-Authorization 
HEAD LINK Accept-Encoding Range 
POST UNLINK Accept-Language Referer 
PUT TRACE Authorization Unless 
PATCH WRAPPED From User-Agent 
COPY Extension-method Host 
例如 : 
GET/somedir/page.html HTTP/1.1 
Host :www.someschool .edu 
Connection:close 
User-agent :Mozilla/4.0 
Accept-languge:fr 
@ 响应 报 文 格式 如 图 1-112 所 示 。 
版 本 空格 状态 码 空格 短语 
首部 字段 名 | ， | 空格 | 值 
首部 字段 名 : 空格 值 


实体 主体 实体 主体 部 分 


图 1-112 HTTP 响应 报 文 格式 
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响应 报 文中 有 关 信 息 如 表 1-13 所 示 。 
表 1-13 ”响应 报 文中 有 关 信 息 


响应 报 文 

响应 状态 码 响应 首部 字段 
Continue Moved Temporarily Request Timeout Location 
Switching See Other Conflict Proxy-Authenticate 
Protocols Not Modified Gone Public 
OK Use Proxy Length Required Retry-After 
Created Bad Request Unless True Server 
Accepted Unauthorized Internal Server Error WWW-Authenticate 
Non -Authoritative ”Payment Required Not Implemented 
Information Forbidden Bad Gateway 
No Content Not Found Service Unavailable 
Reset Content Method Not Allowed Gateway Timeout 
Partial Content None Acceptable Extension code 
Multiple Choice Proxy Authentication 
Moved Required 
Permanently 


状态 码 都 是 三 位 数字 ， 意 义 如 下 : 

。 1xx 表示 通知 信息 的 ， 如 请 求 收 到 了 或 正在 进行 处 理 。 

。 2xx 表示 成 功 ， 如 接受 或 知道 了 。 

。 3xx 表示 重 定向 ， 表 示 要 完成 请 求 还 必须 采取 进一步 的 行动 。 
。 4xx 表示 客户 的 差错 ， 如 请 求 中 有 错误 的 语法 或 不 能 完成 。 
。 5xx 表示 服务 器 的 差错 ， 如 服务 器 失效 无 法 完成 请 求 。 
例如 : 


HTTP/1.1 200 OK 

Connection:close 

Date: Thu, 03 Jul 2006 12:00:15 GMT 
Server:Apache/1.3.0 (Unix) 
Last-Modified:Sun, 5 may 2006 09:23:24 GMT 
Content-Length:6821 

Content-Type:text/html 

(data data data data ...) 


4. Cookie、Session 与 Web 缓存 
开发 网 站 涉及 到 页 面 间 数据 共享 的 时 候 ， 常 常 需要 使 用 某 一 种 方式 来 持久 化 我 们 的 


数据 , 持久 化 数据 的 方式 有 许多 种 , 下面 分 别 介绍 Application、Cookie、Session 和 Cache 
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这 几 种 方式 。 

Cookie: 提供 了 一 种 在 Web 应 用 程序 中 存储 用 户 特定 信息 的 方法 。 例 如 ， 当 用 户 访 
问 站 点 时 ，Cookie 存储 用 户 首选 项 或 其 他 信息 。 当 该 用 户 再 次 访问 该 网 站 时 ， 便 可 以 检 
索 以 前 存储 的 信息 。 在 开发 人 员 以 编程 方式 设置 Cookie 时 ， 需 要 将 希望 保存 的 数据 序列 
化 为 字符 串 〈 并 且 要 注意 ， 很 多 浏览 器 对 Cookie 有 4096B 的 限制 ) 然后 进行 设置 。 

Cookie 的 关键 特性 有 : 存储 于 客户 端 硬盘 上 ， 与 用 户 相关 ， 在 一 定时 间 内 持久 化 存 
储 ， 可 以 跨 浏 览 器 共享 数据 ， 需 要 被 序列 化 ， 发 生 服 务 器 -客户 端 数据 传输 。 

Session: 为 当前 用 户 会 话 提供 信息 。 还 提供 对 可 用 于 存储 信息 的 会 话 范围 的 缓存 的 
访问 ， 以 及 控制 如 何 管理 会 话 的 方法 。 存 储 在 服务 器 的 内 存 中 ， 因 此 与 在 数据 库 中 存储 
和 检索 信息 相 比 ， 它 的 执行 速度 更 快 。 会 话 状 态 应 用 于 单个 的 用 户 和 会 话 。 

Session 的 关键 特性 有 : 存储 于 服务 器 内 存 中 ,与 会 话 相 关 ， 在 会 话 的 整个 生存 期 中 
存在 即 不 会 被 主动 丢弃 ， 不 被 序列 化 ， 不 发 生 服务 器 -客户 端 数 据 传输 。 

Cache: 存储 于 服务 器 的 内 存 中 ， 人 允许 自 定义 缓存 项 以 及 将 缓存 多 长 时 间 。 例 如 ， 
当 缺 乏 系统 内 存 时 ， 缓 存 会 自动 移 除 很 少 使 用 的 或 优先 级 较 低 的 项 以 释放 内 存 。 该 技术 
也 称 为 清理 ， 这 是 缓存 确保 过 期 数据 不 使 用 宝贵 的 服务 器 资源 的 方式 之 一 。 它 不 与 会 话 
相关 ， 所 以 它 是 多 会 话 共享 的 ， 因 此 使 用 它 可 以 提高 网 站 性 能 ， 但 是 可 能 泄露 用 户 的 安 
全 信息 。 另 外 ， 在 服务 器 缺乏 内 存 时 可 能 会 自动 移 除 Cache， 因 此 需要 在 每 次 获取 数据 
时 检测 该 Cache 项 是 否 还 存在 。 

Cache 的 关键 特性 有 : 存储 于 服务 器 内 存 中 ， 与 会 话 无 关 ， 根 据 服 务 器 内 存 资源 的 
状况 随时 可 能 被 丢弃 ， 不 被 序列 化 ， 不 发 生 服务 器 -客户 端 数 据 传输 。 

综 上 所 述 ， 我 们 总 结 出 一 些 常见 而 典型 的 例子 。 

电子 商务 网 站 的 购物 车 : 使 用 Session， 因 为 购物 车 信息 是 会 话 相 关 的 而 且 安全 性 很 
重要 。 

论坛 或 其 他 网 站 的 “ 记 住 我 ”功能 : 使 用 Cookie， 因 为 这 是 保存 的 往往 只 是 一 个 用 
户 名 ， 而 且 当 用 户 下 次 登录 时 还 需要 这 个 用 户 名 仍然 存在 。 

产品 信息 : Cache 是 优先 的 选择 ， 因 为 产品 信息 通常 是 与 会 话 无 关 、 修 改 频率 低 且 
访问 频率 高 的 数据 ， 使 用 Cache 来 保存 可 以 有 效 地 提高 网 站 的 性 能 。 

最 后 ， 表 1-14 是 对 以 上 三 种 数据 持久 化 方式 的 特性 对 比 。 


表 1-14 Cookie、Session 和 Cache 对 比 
Cache 


洒 
次 
部 


存储 位 置 

是 否 会 被 主动 丢弃 
与 会 话 相关 

是 否 被 序列 化 

是 否 发 生 服 务 器 -客户 端 传输 
是 否 被 加 密 


悄 


基 | 现 


巩 | 现 
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5. 浏览 器 

浏览 器 是 指 可 以 显示 网 页 服务 器 或 者 文件 系统 的 HIML 文件 内 容 ， 并 让 用 户 与 这 些 
文件 交互 的 一 种 软件 ， 也 就 是 在 用 户 计算 机 上 的 万 维 网 客户 程序 ， 其 结构 如 图 1-113 所 
示 。 万 维 网 文档 所 驻 留 的 计算 机 则 运行 服务 器 程序 ， 因 此 这 个 计算 机 也 称 为 万 维 网 服务 
器 。 客 户 程序 向 服务 器 程序 发 出 请 求 ， 服 务 器 程序 向 客户 程序 送 回 客户 所 要 的 万 维 网 文 
档 。 在 一 个 客户 程序 主 窗口 上 显示 出 的 万 维 网 文档 称 为 页 面 或 网 页 。 一 个 网 页 中 可 以 包 
括 多 个 文档 ， 每 个 文档 都 是 分 别 从 服务 器 获取 的 。 大 部 分 的 浏览 器 本 身 支持 除了 HTML 
之 外 的 广泛 的 格式 , 例如 JPEG、PNG、GIF 等 图 像 格 式 ， 并 且 能 够 扩展 支持 众多 的 插件 
(plug-ins)。 另外, 许多 浏览 器 还 支持 其 他 的 URL 类 型 及 其 相应 的 协议 , 如 FTP、Gopher、 
HTTPS (HTTP 协议 的 加 密 版 本 )。HTTP 内 容 类 型 和 URL 协议 规范 允许 网 页 设计 者 在 
网 页 中 嵌入 图 像 、 动 画 、 视 频 、 声 音 、 流 媒体 等 。 


从 鼠标 和 键盘 输入 输出 至 显示 器 。 有 
Mtg gy 土 


HTML 解 释 程 序 ”一 驱 
[*| 控制 程序 » 
动 
3 程 | 
序 
可 选 解释 程序 上 
缓存 HTTP 客户 程序 可 选 客户 程序 
网 络 接口 
服务 器 通信 


图 1-113 浏览 器 的 结构 


1.8.3.6 ”动态 主机 配置 协议 


1. DHCP 的 功能 

动态 主机 配置 协议 DHCP) 是 一 种 使 网 络 管理 员 能 够 集中 管理 和 自动 分 配 IP 网 
络 地 址 的 通信 协议 。 在 卫 网 络 中 , 每 个 连接 Intemet 的 设备 都 需要 分 配 唯一 的 卫 地 址 。 
DHCP 使 网 络 管理 员 能 从 中 心 节点 监控 和 分 配 卫 地 址 。 当 某 台 计算 机 移 到 网 络 中 的 其 
他 位 置 时 ， 能 自动 收 到 新 的 他 地 址 。 

DHCP 使 用 了 租约 的 概念 ， 或 称 为 计算 机 卫 地 址 的 有 效 期 。 租 用 时 间 是 不 定 的 ， 
主要 取决 于 用 户 在 某 地 连接 Intermet 需要 多 久 ， 这 对 于 教育 行业 和 其 他 用 户 频繁 改变 的 
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环境 是 很 实用 的 。 通 过 较 短 的 租 期 ，DHCP 能 够 在 一 个 计算 机 比 可 用 卫 地 址 多 的 环境 
中 动态 地 重新 配置 网 络 。 同 时 ，DHCP 也 支持 为 计算 机 分 配 静态 地 址 ， 如 需要 永久 性 人 P 
地 址 的 Web 服务 器 。 

2. DHCP 报 文 格式 

DHCP 的 报 文 格式 如 图 1-114 示 。 


8bits 8bits 8bits 8bits 
Op | Htype Hlen Hops 
Xid 
Secs Flags 
Ciaddr 
Yiaddr 
Siaddr 
Giaddr 
Chaddr (16 bytes) 
Sname (64 bytes) 
File (128 bytes) 
Option (variable) 


图 1-114 DHCP 报 文 格式 


。 Op: 消息 操作 代码 ， 既 可 以 是 引导 请 求 (BOOTREQUEST) 也 可 以 是 引导 答复 
(BOOTREPLY )。 

Htype: 硬件 地 址 类 型 。 

Hlen: 硬件 地 址 长 度 。 

Xid: 处 理 ID。 

Secs: 客户 机 地 址 获取 ， 进 程 恢复 消耗 的 时 刻 。 

。 Flags: 标记 。 

。 Ciaddr: 客户 机 也 地址 。 

。 Yiaddr:“ 你 的 ”( 客 户 机 ) 了 P 地 址 。 

。 Siaddr: 在 bootstrap 中 使 用 的 下 一 台 服 务 器 的 地址。 

。 Giaddr: 用 于 导入 的 接替 代理 瑟 地 址 。 

Chaddr: 客户 机 硬件 。 

Sname: 任意 服务 器 主机 名 称 ， 空 终止 符 。 

File: DHCP 发 现 协议 中 的 引导 文件 名 、 空 终止 符 、 属 名 或 者 空 ，DHCP 供应 协 
议 中 的 受 限 目录 路 径 名 。 

。 Options: 可 选 参 数字 段 。 参 考 定义 选择 列表 中 的 选择 文件 。 
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3. DHCP 消息 类 型 
DHCP 的 消息 类 型 如 表 1-15 所 示 。 


表 1-15 DHCP 消息 类 型 


消息 功 能 
DHCPDISCOVER | 客户 进行 广播 以 确定 本 地 可 用 的 服务 器 
DHCPOFFER 服务 器 给 客户 的 应 答 ， 在 其 中 包括 了 配置 参数 


此 消息 是 客户 发 送 给 服务 器 的 ， 作 用 有 三 个 : 客户 从 一 台 服 务 器 上 请 求 配置 信 
息 〈 在 这 个 时 候 客户 也 就 拒绝 了 其 他 服务 器 发 来 的 地 址 ， 客 户 就 用 这 个 地 址 


DHCPREQUEST | 了 ) ， 在 系统 重新 启动 后 ， 客 户 利用 这 个 消息 确认 原来 分 配 的 网 络 地 址 仍然 有 
效 ， 客 户 还 可 以 利用 这 个 消息 对 特定 的 网 络 地 址 租用 时 间 要 求 延期 

DHCPACK 服务 器 发 向 用 户 的 消息 ， 包 括 了 配置 参数 和 网 络 地 址 

DHCPNAK 服务 器 发 向 用 户 的 消息 ， 告 知客 户 当前 使 用 的 网 络 地址 无 效 或 租 期 已 汪 


DHCPDECLINE 客户 发 向 服务 器 的 消息 ， 告 知 服务 器 此 地 址 已 被 使 用 
DHCPRELEASE 客户 发 向 服务 器 的 消息 ， 告 知 服务 器 此 地 址 不 再 使 用 
客户 发 向 服务 器 的 消息 ， 要 求 服务 器 发 送 本 地 配置 信息 ， 客 户 已 经 配置 好 了 网 


DHCPINFORM 。 | 络 地 址 ， 不 需要 再 发 送 网 络 地 址 了 


4. DHCP 的 工作 过 程 

DHCP 采用 客户 服务 器 的 工作 方式 。 具 体 工作 过 程 如 下 : 

Q@ DHCP 服务 器 打开 UDP 67 端口 ， 监 听 请 求 。 

@ DHCP 客户 从 端口 68 利用 UDP 向 服务 器 发 送 DHCPDISCOVER 报 文 。 

@ DHCP 服务 器 发 送 DHCPOFFER 报 文 ( 凡 收 到 DHCP 发 现 报 文 的 DHCP 服务 器 
都 发 出 DHCP 提供 报 文 )。 

@ DHCP 客户 从 多 个 DHCP 服务 器 中 选择 一 个 ， 然 后 向 其 发 送 DHCPREQUEST 
报 文 。 

@ DHCP 服务 器 回 送 DHCPACK， 包 含 分 配 的 全 地址 。 

@ 租用 期 过 了 一 半 ，DHCP 客户 发 送 请 求 报 文 DHCPREQUEST 要 求 更 新 租用 期 。 

@ DHCP 服务 器 若 同 意 ， 则 发 回 确认 报 文 DHCPACK。DHCP 客户 得 到 了 新 的 租 
用 期 ， 重 新 设置 计时 器 。 

DHCP 服务 器 若 不 同意 ， 则 发 回 否 认 报 文 DHCPNACK。 这 时 DHCP 客户 必须 
立即 停止 使 用 原来 的 IP 地 址 ， 而 必须 重新 申请 卫 地 址 〈 回 到 步骤 @)。 

@ DHCP 客户 可 随时 提前 终止 服务 器 所 提供 的 租用 期 ， 这 时 只 需 向 DHCP 服务 器 
发 送 释 放 报 文 DHCPRELEASE 即 可 。 

另外 ， 若 DHCP 服务 器 不 响应 步骤 @ 的 请 求 报 文 DHCPREQUEST， 则 在 租用 期 过 
了 87.5% 时 ，DHCP 客户 必须 重新 发 送 请 求 报 文 DHCPREQUEST (重复 步骤 @)， 然 
后 又 继续 后 面 的 步骤 。 
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1.8.3.7 无 线 Web 协议 (WAP) 


1. WAP 的 特点 

@ WAP 只 要 求 移动 电话 和 WAP 代理 服务 器 的 支持 ， 而 不 要 求 现 有 的 移动 通信 网 
络 协议 作 任何 的 改动 ， 所 以 WAP 能 同时 适用 于 CDMA、DETC、GSM、IMT-2000 等 多 
种 不 同 的 移动 通信 系统 。 

@@ WAP 协议 堆栈 的 设计 力求 使 所 需 带宽 最 小 化 ， 并 对 各 种 网 络 技术 和 服务 提供 广 
泛 支持 。 

@@ WAP 层次 结构 比较 松散 ， 每 层 的 开发 独立 于 其 他 层 ， 容 易 引入 新 的 传输 协议 和 
服务 类 型 。 

2. WAP 协议 栈 的 组 成 结构 

(1) 应 用 层 即 无 线 应 用 环境 (Wireless Application Environment，WAE)， 是 基于 
WWW 和 移动 电话 技术 而 建立 的 一 种 通用 应 用 环境 ， 其 协议 栈 如 图 1-115 所 示 。WAE 提 
供 了 一 个 微 浏览 器 ， 包 含有 下 列 功能 : 

。 解释 并 执行 使 用 WML 语言 编辑 的 WAP 网 页 。 

。 包含 WML 脚本 即 WMLScript， 并 能 解释 和 执行 采用 该 脚本 语言 编写 的 网 页 。 

。 支持 无 线 电话 技术 应 用 ， 包 括 电 话 技术 服务 WTA 及 其 程序 设计 界面 WTAI。 

。 定义 了 一 组 明确 的 数据 格式 ， 包 括 图 像 、 电 话 本 记录 和 日 期 信息 等 的 数据 格式 。 


人 4 


应 用 层 | 


无 线 会 话 层 | 


传输 协议 层 


安全 协议 层 | 


数据 报 协议 层 “| 
图 1-115 ”WAP 协议 栈 


(2) 无 线 会 话 层 。 无 线 会 话 层 协议 (Wireless Session Protocol，WSP) 向 两 个 对 话 服 
务 提供 一 致 接口 的 WAP 应 用 层 。 一 个 是 在 WTP 层 上 操作 的 连接 导向 服务 ， 另 一 个 是 在 
安全 或 非 安全 数据 包 服 务 上 操作 的 非 连接 服务 WDP ,无线 会 话 协议 当前 由 与 浏览 应 用 相 
匹配 的 服务 组 成 ， 通 常 简 记 为 WSP/B， 它 提供 下 列 几 项 功能 : 

。 支持 在 压缩 的 超 空间 编码 中 的 HTTP/1 的 功能 和 语义 。 

。 支持 长 久 对 话 状 态 ， 以 及 通过 对 话 移动 暂停 和 恢复 。 
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。 支持 可 靠 或 不 可 靠 数 据 的 普通 设备 的 连接 与 访问 。 

。 支持 协议 特性 流通 。 由 于 WSP 体系 的 协议 需要 较 长 的 反应 时 间 ， 所 以 对 低 带 宽 
载体 网 络 的 应 用 进行 了 优化 ， 从 而 使 WSP/B 设计 得 允许 WAE 代理 把 WSP/B 客 
户 连接 到 HTTP 服务 器 。 

(3) 传输 协议 层 。 无 线 传输 协议 层 (Wireless Transaction Protocol，WTP) 在 数据 包 
服务 的 项 端 运行 ， 并 提供 适合 在 “ 瘦 ” 客 户 即 移动 网 络 站 上 执行 的 普通 事务 服务 ， 并 可 
对 移动 终端 进行 优化 ， 主 要 提供 以 下 功能 。 

。 三 个 级 别 的 传输 服务 : 不 可 靠 单 向 请 求 、 可 靠 单 向 请 求 、 可 靠 双 向 请 求 与 答复 。 

。 用 户 对 收 到 信息 的 确认 。 

。 对 超频 带 数据 的 确认 。 

。 旨 在 减少 传送 信息 数量 的 PDU 串联 延迟 。 

。 异步 传输 服务 。 

(4) 安全 协议 层 。 无 线 传输 安全 层 协 议 (Wireless Transport Layer Security，WTLS) 
是 基于 工业 标准 传输 层 安 全 协议 的 协议 ， 它 在 安全 传输 协议 SSL 的 基础 上 针对 WAP 传 
输 所 用 的 低 带 宽 通 信 信 道 进行 了 优化 ， 主 要 为 数据 传递 提供 下 列 功能 和 服务 。 

。 保证 数据 在 终端 和 应 用 服务 器 间 稳 定 、 准 确 地 传送 。 

。 保证 数据 在 终端 和 应 用 服务 器 间 传 输 的 保密 性 ， 避 免 数 据 传输 中 的 截取 、 窃 听 。 

。 保证 终端 应 用 服务 器 的 真实 性 。 

。 对 不 能 顺利 通过 核对 的 数据 进行 检测 ， 如 果 必 要 则 驳回 数据 ， 使 对 方 重新 发 送 。 

。 保证 终端 之 间 的 通信 安全 。 

(5) 数据 报 协议 层 。 无 线 数据 报 协议 (Wireless Datagram Protocol，WDP) 用 于 传 
输 数据 ， 发 送 和 接收 消息 。 它 可 以 向 WAP 的 上 层 协议 提供 服务 支持 ， 并 保持 通信 的 透 
明 性 , 同时 能 够 独立 运行 下 部 无 线 网 络 。 在 保持 传输 接口 和 基本 特性 一 致 的 情况 下 , WDP 
采用 中 间 网 关 可 以 实现 全 局 工作 的 互 用 性 ， 从 而 实现 无 线 数据 的 顺利 传输 。 

3. WAP 工作 原理 

为 适应 无 线 设备 屏幕 小 、 无 线 传 输 带 宽 小 等 环境 的 特殊 要 求 , WAP 采取 了 以 下 措施 : 

G@ 使 用 二 进 制 传输 经 过 高 度 压缩 的 数据 ， 并 对 长 延 时 和 中 低 带 宽 进行 优化 。 

@ WAP 的 会 话 功 能 可 以 处 理 不 连续 覆盖 的 问题 , 并 能 自动 地 在 IP 不 可 用 时 改 用 其 
他 优化 协议 来 进行 各 种 信息 传输 。 

@ 通过 使 用 WML 语言 编写 网 页 , WAP 解决 了 Internet 页 面 不 能 在 移动 通信 设备 上 
显示 的 问题 。 

@ 运用 WML 编辑 的 网 页 可 在 手机 的 微 浏览 器 上 产生 按钮 、 图 示 及 超 链接 等 功能 ， 
并 可 提供 信息 浏览 、 数 据 输入 、 文 本 和 图 像 显 示 、 表 格 显示 等 功能 ， 大 大 减 小 了 在 移动 
设备 上 浏览 网 页 内 容 的 复杂 程度 。 

@@ WAP 通过 加 强 网 络 功 能 来 弥补 便携 式 移动 设备 本 身 的 缺陷 ， 工 作 时 尽 可 能 少 地 
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占用 移动 通信 设备 的 资源 。 

@ WAP 在 应 用 层 上 隐藏 了 GSM 的 复杂 性 ， 给 用 户 提供 了 类 似 于 普通 Web 页 面 的 
友好 性 。 

@ WAP 通过 使 用 类 似 于 JavaScript 的 脚本 语言 WMLScript， 来 使 移动 通信 设备 先 
将 信息 进行 处 理 后 再 发 给 服务 器 。 


1.8.3.8 了 P2P 应 用 协议 


1. 概述 

对 等 连接 P2P 是 peer-to-peer 的 缩写 ，P2P 也 就 可 以 理解 为 “伙伴 对 伙伴 ”的 意思 ， 
或 称 为 对 等 连接 。 目 前 人 们 认为 其 在 加 强 网 络 上 人 的 交流 、 文 件 交 换 、 分 布 计算 等 方面 
大 有 前 途 。 简 单 地 说 ， 以 前 人 们 下 载 文 件 是 从 服务 器 上 ， 而 P2P 则 是 多 个 终端 用 户 各 下 
载 一 部 分 ， 然 后 互相 下 载 ， 这 样 大 量 用 户 同时 下 载 不 但 不 会 造成 堵塞 ， 反 而 速度 加 快 。 

简单 的 说 ，P2P 直接 将 人 们 联系 起 来 ， 让 人 们 通过 互联 网 直接 交互 。P2P 使 得 网 络 
上 的 沟通 变 得 容易 ， 共 享 和 交互 更 直接 ， 真 正 地 消除 中 间 商 。 P2P 就 是 人 可 以 直接 连 
接 到 其 他 用 户 的 计算 机 , 交换 文件 , 而 不 是 像 过 去 那样 连接 到 服务 器 去 浏览 与 下 载 。P2P 
另 一 个 重要 特点 是 改变 互联 网 现在 的 以 大 网 站 为 中 心 的 状态 ， 重 返 “ 非 中 心 化 ” 并 把 权 
力 交 还 给 用 户 。 

2. 了 P2P 的 发 展 过 程 

P2P 的 发 展 可 以 被 划分 为 三 代 。 

(1) 第 一 代 是 以 Napster 为 代表 的 ， 还 用 中 央 服 务 器 管理 的 P2P， 这 一 代 的 P2P 生 
命 力 十 分 脆弱 : 只 要 关闭 服务 器 ， 网 络 就 死 了 。 

(2) 第 二 代 分 布 式 P2P 没有 中 央 服 务 器 ， 但 是 速度 太 慢 。 

(3) 第 三 代为 混合 型 ， 采 用 分 布 服务 器 。 目 前 我 国 流行 的 BT 下 载 和 电驴 就 是 属于 
这 类 。 

3. P2P 工作 过 程 

使 用 者 首先 一 定 要 下 载 而 且 运行 一 个 点 到 点 连 网 程序 。 在 开始 程序 之 后 ， 使 用 者 进 
入 属于 网 络 的 另外 一 部 计算 机 的 卫 地 址 。( 典 型 地 , 使 用 者 下 载 的 网 页 将 会 把 一 些 卫 地 
址 列 为 开始 位 置 ) 一 经 计算 机 寻找 的 另外 的 一 个 网 络 成 员 在 线 ， 它 将 会 连接 到 那个 使 用 
者 。 使 用 者 能 选择 一 次 连接 多 少 成 员 ， 而 且 决 定 他 们 愿意 共享 哪 一 个 文件 ， 还 可 以 用 密 
码 保护 。 

4. P2P 的 优势 

。 非 中心 分 散 化 : 将 以 服务 器 为 中 心 的 服务 分 散 到 各 个 网 络 节点 ， 避 免 出 现 服务 器 

性 能 瓶颈 。 
。 扩展 性 : 随 着 更 多 的 用 户 加 入 ， 网 络 整体 资源 和 服务 得 到 了 提升 和 扩充 。 
。 健壮 稳定 性 : 网 络 自 组 织 管理 ， 网 络 中 某 一 节点 或 局 部 网 络 出 现 问题 对 整个 网 络 
不 会 有 很 大 的 影响 。 
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。 资源 共享 : 能 有 效 的 利用 网 络 中 闲置 的 硬件 资源 进行 计算 、 存 储 。 
。 优化 传播 速度 : 数据 传播 是 直接 在 节点 之 间 传 送 的 ， 因 此 当 用 户 数据 增加 时 ， 其 
数据 传播 速度 会 大 大 加 强 。 


1.8.4 代理 与 NAT 


1. 应 用 层 代理 

代理 (Proxy) 处 于 客户 机 与 服务 器 之 间 ， 对 于 服务 器 来 说 ，Proxy 是 客户 机 ，Proxy 
提出 请 求 ， 服 务 器 响应 ; 对 于 客户 机 来 说 ，Proxy 是 服务 器 ， 它 接受 客户 机 的 请 求 ， 并 
将 服务 器 上 传 来 的 数据 转 给 客户 机 。 

应 用 层 代 理工 作 在 TCP/IP 模型 的 应 用 层 之 上 ， 它 只 能 用 于 支持 代理 的 应 用 层 协议 
(如 HTTP、FTP)。 

应 用 层 代 理 的 原理 是 彻底 隔断 通信 两 端的 直接 通信 ， 所 有 通信 都 必须 经 应 用 层 代理 
层 转 发 , 访问 者 任何 时 候 都 不 能 与 服务 器 建立 直接 的 TCP 连接 , 应 用 层 的 协议 会 话 过 程 
必须 符合 代理 的 安全 策略 要 求 。 

代理 服务 器 实现 模型 如 图 1-116 所 示 。 


代理 服务 器 于 


服务 器 | 客户 


图 1-116 代理 服务 器 实现 模型 图 


2. 网 络 地址 转换 (NAT) 

因特网 的 他 地址 有 本 地 地 址 和 全 球 地 址 两 类 。 本 地 地 址 仅 在 机 构 内 部 使 用 ,由 本 机 
构 自 行 分 配 ， 而 不 需要 向 因特网 的 管理 机 构 申 请 。 全 球 地 址 顾名思义 在 全 球 唯 一 ， 必 须 
向 因特网 的 管理 机 构 申 请 。 由 于 本 地 地 址 可 以 由 机 构 自行 分 配 ， 在 一 定 程度 上 缓解 了 
IP 地 址 不 足 的 问题 。RFC1918 为 私有 和 内 部 使 用 的 网 络 留 出 了 三 个 IP 地 址 块 (A 类 、 
B 类 和 C 类 地 址 范围 各 一 段 ) 作为 专用 地 址 ， 也 就 是 本 地 地 址 。 但 因特网 中 的 所 有 路 由 
器 对 目的 地 址 是 专用 地 址 的 数据 报 一 律 不 进行 转发 。 这 就 需要 使 用 网 络 地 址 转换 
(Network Address Translation，NAT)。 通 常 由 路 由 器 担任 人 P 转换 的 功能 ， 且 要 在 专用 网 
连接 到 因特网 的 路 由 器 上 安装 NAT 软件 ， 装 有 ”NAT 软件 的 路 由 器 叫做 NAT 路 由 器 ， 
它 至 少 有 一 个 有 效 的 外 部 全 球 地 址 。 

NAT 有 三 种 类 型 : 静态 NAT、 动 态 地 址 NAT、 端 口 地 址 转换 PAT。 

。 静态 NAT: 设置 起 来 最 为 简单 和 容易 ， 内 部 网 络 中 的 每 个 主机 都 被 永久 映射 成 某 

个 全 球 地 址 。 
。 动态 地 址 NAT: 以 地 址 池 的 方式 。 地 址 池 中 有 多 个 全 球 地 址 用 来 对 内 部 地 址 进行 
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上 映射， 但 不 固定 绑 定 。 

。 端口 地 址 转换 PAT: 一 个 外 网 地 址 可 以 和 多 个 内 网 地 址 (如 一 个 网 段 ) 进行 映射 ， 
同时 在 该 地 址 上 加 上 一 个 由 NAT 设备 指定 的 TCP/UDP 的 端口 号 来 进行 区 分 。 通 
过 使 用 PAT 可 以 让 成 百 上 千 的 本 地 地 址 节点 使 用 一 个 全 球 地 址 访问 Internet。 PAT 
普遍 应 用 于 接 入 设备 中 ， 它 可 以 将 中 小 型 的 网 络 隐藏 在 一 个 合法 的 他 地 址 后 面 。 
通过 这 种 方式 把 内 部 主机 隐藏 起 来 ， 从 而 实现 了 内 部 主机 的 安全 性 。 


1.8.5 ”搜索 引擎 


搜索 引擎 (search engine) 是 指 因特网 上 专门 提供 查询 服务 的 一 类 网 站 ,这些 网 站 通 
过 网 络 搜索 软件 〈 又 称 为 网 络 搜索 机 器 人 ) 或 网 站 登录 等 方式 ， 收 集 因 特 网 上 大 量 网 站 
的 页 面 ， 经 过 加 工 处 理 后 建 库 ， 从 而 能 够 对 用 户 提出 的 各 种 查询 做 出 响应 ， 提 供用 户 所 
需 的 信息 。 它 是 一 个 对 互联 网 资源 进行 搜索 整理 和 分 类 ， 并 储存 在 网 络 数据 库 中 供用 户 
查询 的 系统 ， 包 括 信息 搜索 、 信 息 分 类 、 用 户 查询 三 部 分 。 

1. 搜索 引擎 的 工作 原理 

简单 的 说 ， 搜 索引 擎 是 通过 从 互联 网 上 提取 的 各 个 网 站 的 信息 来 建立 数据 库 ， 检 索 
与 用 户 查 询 条 件 匹 配 的 相关 记录 ， 然 后 按 一 定 的 排列 顺序 将 结果 返回 给 用 户 。 根 据 搜索 
引擎 提取 数据 的 方法 ， 可 将 搜索 引擎 系统 分 为 三 大 类 。 

1) 目录 式 搜索 引擎 

目录 式 搜索 引擎 是 一 种 网 站 级 搜索 引擎 。 目 录 式 搜索 引擎 由 分 类 专家 将 网 络 信息 按 
照 主题 分 成 若干 个 大 类 ， 每 个 大 类 再 分 为 若干 个 小 类 ， 依 次 细 分 。 一 般 的 搜索 引擎 分 类 
体系 有 五 六 层 ， 有 的 甚至 十 几 层 。 先 由 程序 自动 搜集 信息 ， 然 后 由 编辑 员 查 看 信息 ， 人 
工 形成 信息 摘要 ， 提 供 目录 浏览 服务 和 直接 检索 服务 。 由 于 目录 式 搜索 引擎 的 信息 分 类 
和 信息 搜集 有 人 的 参与 ， 因 此 其 搜索 的 准确 度 是 相当 高 的 。 缺 点 是 需要 人 工 介 入 、 维 护 
量 大 、 信 息 量 少 、 信 息 更 新 不 够 及 时 。Yahoo 属于 这 类 搜索 引擎 。 

2) 机 器 人 搜索 引擎 

这 种 搜索 方式 是 搜索 引擎 主动 派出 称 为 蜘蛛 (spider) 的 机 器 人 程序 定期 搜索 ,对 一 
定 PP 地址 范围 内 的 互联 网 站 进行 检索 , 一旦 发 现 新 的 网 站 ， 它 会 自动 提取 网 站 的 信息 和 
网 址 加 入 自己 的 数据 库 。 该 类 搜索 引擎 的 优点 是 信息 量 大 、 更 新 及 时 、 毋 需 人 工 干 预 。 
缺点 是 返回 信息 过 多 、 有 很 多 无 关 信 息 、 用 户 必 须 从 结果 中 进行 筛选 。Google、 百 度 属 
于 这 类 搜索 引擎 。 

3) 元 搜索 引擎 

这 类 搜索 引擎 没有 自己 的 数据 ， 而 是 将 用 户 的 查询 请 求 同 时 向 多 个 预先 选 定 的 独立 
搜索 引擎 递交 ， 将 返回 的 结果 进行 重复 排除 、 重 新 排序 等 处 理 后 ， 作 为 自己 的 结果 返回 
给 用 户 。 优 点 是 返回 结果 的 信息 量 更 大 、 更 全 。 缺 点 是 用 户 需 要 做 更 多 的 筛选 。 

2. 搜索 引擎 的 性 能 指标 

1973 年 美国 的 Lancaster 和 Fayen 曾 列 出 6 项 衡量 信息 检索 系统 效果 的 评价 指标 ， 
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即 覆 盖 范 围 、 查 全 率 、 查 准 率 、 响 应 时 间 、 用 户 负 担 和 检索 结果 输出 格式 。 中 文 搜索 引 
擎 的 评价 标准 主要 有 : 收录 范围 、 查 询 结果 反馈 信息 的 质量 、 检 索 款 式 目的 信息 量 、 查 
错 率 、 更 新 与 报道 速度 、 查 询 功 能 、 检 索 界 面 的 友好 性 、 精 品 推荐 、 友 情 链 接 、 响 应 
速度 。 

搜索 引擎 的 目标 就 是 在 非常 短 的 时 间 内 搜索 的 信息 全 面 并 且 准 确 。 传 统 信 息 检索 系 
统 的 性 能 参数 召回 率 和 精度 同样 也 可 以 衡量 一 个 搜索 引擎 的 性 能 。 召 回 率 是 检索 出 的 相 
关 文 档 数 和 文档 库 中 所 有 的 相关 文档 数 的 比率 ， 衡 量 的 是 搜索 引擎 的 查 全 率 ; 精度 是 检 
索 出 的 相关 文档 数 与 检索 出 的 文档 总 数 的 比率 ， 衡 量 的 是 搜索 引擎 的 查 准 率 。 对 于 一 个 
检索 系统 来 讲 ， 召 回 率 和 精度 不 可 能 两 全 其 美 。 召 回 率 高 时 ， 精 度 低 ; 精度 高 时 ， 召 回 
率 低 。 因 为 没有 一 个 搜索 引擎 系统 能 够 搜集 到 所 有 的 NDC 网 页 所 以 召回 率 很 难 计算 。 


1.9 网 络 管理 


1.9.1 网 络 管理 基本 概念 


1. 计算 机 网 络 定义 

网 络 管理 是 指 对 网 络 的 运行 状态 进行 检测 和 控制 ， 并 能 提供 有 效 、 可 靠 、 安 全 、 经 
济 地 服务 。 网 络 管理 应 完成 两 个 任务 ， 一 是 对 网 络 的 运行 状态 进行 监测 ， 二 是 对 网 络 的 
运行 状态 进行 控制 。 通 过 监测 可 以 了 解 当前 网 络 状态 是 否 正常 ， 是 否 出 现 危 机 和 故障 ; 
通过 控制 可 以 对 网 络 状 态 进 行 合 理 分 配 ， 提 供 网 络 性 能 ， 保 证 网 络 应 有 的 服务 。 监 测 是 
控制 的 前 提 ， 控 制 是 监测 的 结果 。 所 以 ， 网 络 管理 就 是 对 网 络 的 监测 和 控制 。 

2. 网 络 管理 模型 

在 网 络 管理 中 ， 一 般 采 用 管理 站 -代理 的 管理 模型 ， 如 图 1-117 所 示 ， 它 类 似 于 客户 
机 /服务 器 模式 ， 通 过 管理 进程 与 一 个 远程 系统 相互 作用 实现 对 远程 资源 的 控制 。 在 这 种 
简单 的 体系 结构 中 ， 一 个 系统 中 的 管理 进程 担当 管理 站 角色 ， 被 称 为 网 络 管理 站 ， 而 另 
一 个 系统 中 的 对 等 实体 担当 代理 者 角色 ， 被 称 为 管理 代理 。 网 络 管理 站 将 管理 要 求 通过 
管理 操作 指令 传送 给 位 于 被 管理 系统 中 的 管理 代理 ， 对 网 络 内 的 各 种 设备 、 设 施 和 资源 
实施 监视 和 控制 ， 管 理 代 理 则 负责 管理 指令 的 执行 ， 并 且 以 通知 的 形式 向 网 络 管理 站 报 
告 被 管 对 象 发 生 的 一 些 重要 事件 。 

1) 网 络 管理 站 

网 络 管理 站 (network manager) 一 般 位 于 网 络 系统 的 主干 或 接近 主干 位 置 的 工作 站 、 
微机 等 ， 负 责 发 出 管理 操作 的 指令 ， 并 接收 来 自 代 理 的 信息 。 网 络 管理 站 要 求 管理 代理 
定期 收集 重要 的 设备 信息 。 网 络 管理 站 应 该 定期 查询 管理 代理 收集 到 的 有 关 主 机 运行 状 
态 、 配 置 及 性 能 数据 等 信息 ， 这 些 信息 将 被 用 来 确定 独立 的 网 络 设 备 、 部 分 网 络 或 整个 
网 络 运行 的 状态 是 否 正常 。 
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管理 系统 被 管理 系统 
。 网 络 | [一 管理 操作 一 | | 管理 “上 执行 管理 操作 一 
管理 站 | | zy 通 和 | | 操作 响应 /通知 一 

被 管理 对 象 MIB 座 


图 1-117 管理 站 -代理 模型 


网 络 管理 站 和 管理 代理 通过 交换 管理 信息 来 进行 工作 ， 信 息 分 别 驻 留 在 被 管 设备 和 
管理 工作 站 上 的 管理 信息 库 中 。 这 种 信息 交换 通过 一 种 网 络 管理 协议 来 实现 ， 具 体 的 交 
换 过 程 是 通过 协议 数据 单元 (PDU) 进行 的 。 通 常 是 管理 站 向 管理 代理 发 送 请 求 PDU， 
管理 代理 以 响应 PDU 回答 ， 管 理 信息 包含 在 PDU 参数 中 。 在 有 些 情 况 下 ， 管 理 代理 也 
可 以 向 管理 站 发 送 通知 ， 管 理 站 可 根据 报告 的 内 容 决 定 是 否 做 出 回答 。 

2) 管理 代理 

管理 代理 (network agent) 则 位 于 被 管理 的 设备 内 部 。 通 常 将 主机 和 网 络 互 连 设备 
等 所 有 被 管理 的 网 络 设 备 称 为 被 管 设 备 。 管 理 代理 把 来 自 网 络 管理 站 的 命令 或 信息 请 求 
转换 为 本 设备 特有 的 指令 ， 完 成 网 络 管理 站 的 指示 ， 或 返回 它 所 在 设备 的 信息 。 网 络 代 
理 也 可 能 因为 某 种 原因 拒绝 网 络 管理 站 的 指令 。 另 外 ， 管 理 代 理 也 可 以 把 在 自身 系统 中 
发 生 的 事件 主动 通知 给 网 络 管理 站 。 

3) 网 络 管理 协议 

用 于 网 络 管理 站 和 管理 代理 之 间 传 递 信 息 ， 并 完成 信息 交换 安全 控制 的 通信 规约 就 
称 为 网 络 管理 协议 。 网 络 管理 站 通过 网 络 管理 协议 从 管理 代理 那里 获取 管理 信息 或 向 管 
理 代理 发 送 命 令 ; 管理 代理 也 可 以 通过 网 络 管理 协议 主动 报告 紧急 信息 。 

目前 最 有 影响 的 网 络 管理 协议 是 SNMP 和 CMIS/CMIP， 它 们 代表 了 目前 两 大 网 络 
管理 解决 方案 。 其 中 SNMP 流传 最 广 ， 应 用 最 多 ， 获 得 支持 也 最 广泛 ， 已 经 成 为 事实 上 
的 工业 标准 。 

4) 管理 信息 库 

管理 信息 库 (Management Information Base，MIB ) 是 一 个 信息 存储 库 ， 是 对 于 通过 
网 络 管理 协议 可 以 访问 信息 的 精确 定义 ， 所 有 相关 的 被 管 对 象 的 网 络 信息 都 放 在 MIB 
上 。MIB 库 的 描述 采用 了 结构 化 的 管理 信息 定义 ， 称 为 管理 信息 结构 (Structure of 
Management Information，SMI)， 它 规定 了 如 何 识别 管理 对 象 以 及 如 何 组 织 管理 对 象 的 
信息 结构 。MIB 库 中 的 对 象 按 层次 进行 分 类 和 命名 ， 整 体 表示 为 一 种 树 型 结构 ， 所 有 被 
管 对象 都 位 于 树 的 叶子 节点 ， 中 间 节 点 为 该 节点 下 的 对 象 的 组 合 。 

3. 网 络 管理 功能 

为 了 标准 化 系统 的 管理 功能 ，ISO 在 ISO/TEC 7498-4 文档 中 定义 了 网 络 管理 的 5 个 
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系统 管理 功能 域 (SMFA)， 即 配置 管理 、 故 障 管理 、 性 能 管理 、 计 费 管 理 和 安全 管理 。 

1) 配置 管理 

配置 管理 负责 网 络 的 建立 、 业 务 的 开展 以 及 配置 数据 的 维护 。 配 置 管理 的 作用 包括 
确定 设备 的 地 理 位 置 、 名 称 和 有 关 细 节 ， 记 录 并 维护 设备 参数 表 ;， 用 适当 的 软件 设置 参 
数值 并 配置 设备 功能 ， 初 始 化 、 启 动 和 关闭 网 络 及 其 相应 设备 ; 维护 、 增 加 和 更 新 网 络 
设备 以 及 调整 网 络 设备 之 间 的 关系 。 配 置 管理 对 资源 的 管理 信息 库 (MIB ) 建立 资源 数 
据 ， 并 对 其 进行 维护 。 配 置 管理 可 以 根据 网 络 管理 人 员 的 命令 自动 调整 网 络 设备 配置 ， 
以 保证 整个 网 络 性 能 达到 最 优 。 

2) 故障 管理 

故障 管理 的 主要 是 及 时 发 现 和 排除 网 络 故障 ， 其 目的 是 保证 网 络 能 够 提供 连续 、 可 
靠 、 优 质 的 服务 。 故 障 管理 用 于 保证 网 络 资源 无 障碍 无 错误 的 运营 状态 ， 它 包括 障碍 管 
理 、 故 障 恢复 和 预防 保障 。 障 碍 管理 的 内 容 有 敬告、 测试、 诊断 、 业 务 恢 复 和 故障 设备 
更 换 等 在 系统 可 靠 性 下 降 ， 业 务 经 常 受到 影响 时 ， 预 防 保障 为 网 络 提供 治愈 能 力 。 如 果 
设备 状态 发 生变 化 或 者 发 生 故 障 的 设备 被 替换 , 则 要 与 资源 MIB 互通 , 以 尽快 修改 MIB 
中 的 信息 。 

3) 性 能 管理 

性 能 管理 的 目的 是 维护 网 络 服务 质量 (QoS) 和 网 络 运营 效率 。 为 此 性 能 管理 要 提 
供 性 能 监测 功能 、 性 能 分 析 功 能 以 及 性 能 管理 控制 功能 。 同 时 ， 还 要 提供 性 能 数据 库 的 
维护 以 及 在 发 现 性 能 严重 下 降 时 启动 故障 管理 系统 的 功能 。 典 型 的 网 络 性 能 管理 可 以 分 
为 性 能 监测 和 网 络 控 制 。 其 中 性 能 监测 是 对 网 络 工作 状态 信息 的 收集 和 整理 ， 而 网 络 控 
制 则 是 为 改善 网 络 设备 的 性 能 而 采取 的 动作 和 措施 。 

4) 计 费 管理 

计 费 管理 的 主要 目的 是 正确 地 计算 和 收取 用 户 使 用 网 络 服务 的 费用 ， 同 时 ， 还 要 进 
行 网 络 资源 利用 率 的 统计 和 网 络 的 成 本 效益 核算 。 其 中 ， 有 账目 记录 、 账 单 验证 和 费 率 
折扣 处 理 等 。 对 于 一 个 以 赢利 为 目的 的 网 络 经 营 者 来 说 ， 资 费 政策 是 很 重要 的 ， 计 费 管 
理 功能 提供 了 对 用 户 收费 的 依据 。 

5) 安全 管理 

安全 管理 采用 信息 安全 措施 保护 网 络 中 的 系统 、 数 据 和 业务 。 安 全 管理 与 其 他 管理 
功能 有 着 密切 的 关系 。 安 全 管理 要 调用 配置 管理 中 的 系统 服务 对 网 络 中 的 安全 设施 进行 
控制 和 维护 。 当 网 络 发 现 有 安全 方面 的 故障 时 ， 要 向 故障 管理 通报 安全 故障 事件 以 便 进 
行 故障 诊断 和 恢复 。 

安全 管理 功能 还 要 接收 计 费 管理 发 来 的 与 访问 权限 有 关 的 计 费 数据 和 访问 事件 通 
报 。 安 全 管理 的 目的 是 提供 信息 的 隐私 、 认 证 和 完整 性 保护 机 制 ， 使 网 络 中 的 服务 、 数 
据 以 及 系统 免 受 入 侵 者 的 侵扰 和 破坏 。 一 般 的 安全 管理 系统 包含 风险 分 析 功 能 、 安 全 服 
务 功能 、 警 告 、 日 志和 报告 功能 以 及 网 络 管理 系统 保护 功能 等 。 
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4. 网 络 管理 系统 组 成 

网 络 管理 系统 (NMS) 是 网 络 监视 和 控制 工具 的 集合 ， 一 般 包 含 以 下 一 些 观 点 : 

(1) 为 执行 大 多 数 或 全 部 的 管理 任务 ， 有 一 个 单一 操作 接口 ， 这 个 接口 拥有 功能 
强大 且 用 户 界面 友好 的 命令 集 。 

(2) 使 用 最 少数 量 的 专用 设备 。 也 就 是 说 ， 网 络 管理 所 需要 的 大 多 数 软件 和 硬件 都 
被 组 合 到 现 有 的 用 户 设备 中 。 

网 络 管理 系统 由 现 有 网 络 组 件 中 所 添加 的 硬件 和 软件 组 成 。 执 行 网 络 管理 任务 的 软 
件 存 在 于 主机 或 者 设备 中 〈 如 前 端 处 理 器 、 终 端 控制 器 、 网 桥 、 路 由 器 )。 网 络 管理 系统 
把 整个 网 络 看 做 一 个 统一 结构 来 处 理 ， 每 个 节点 都 有 系统 所 知 的 地 址 、 标 签 和 每 个 元 素 
的 具体 属性 。 网 络 的 节点 定期 反馈 统计 信息 到 网 络 管理 系统 。 

网 络 管理 系统 应 该 能 够 实现 网 络 的 故障 管理 、 网 络 流量 控制 、 计 费 功 能 、 网 络 的 安 
全 功能 以 及 网 络 路 由 选择 策略 管理 等 功能 。 

网 络 管理 系统 底层 需要 支持 管理 协议 ， 比 如 SNMP， 负 责 与 SNMP 实体 通信 以 达到 
监控 目的 。 上 层 需要 具有 用 户 接口 ， 接 收 用 户 命令 ， 并 统计 、 分 析 、 日 志 等 相关 功能 。 

5. 网 络 管理 与 系统 管理 

网 络 管理 是 确保 网 络 用 户 获 得 信息 技术 服务 及 所 期 望 的 服务 质量 。 为 了 实现 这 个 目 
标 ， 管 理 需要 建立 策略 与 用 户 建 立正 规 的 服务 质量 认可 协议 。 从 商业 管理 的 角度 来 看 ， 
网 络 管理 涉及 网 络 工 程 部 、 运 营 部 和 维护 部 的 战略 性 和 战略 规划 ， 以 及 当前 和 将 来 所 需 
服务 的 最 小 成 本 。 

当 一 个 用 户 从 各 自 的 工作 站 通过 客户 端 不 能 访问 服务 器 应 用 程序 时 ， 这 可 以 归 因 于 
应 用 程序 故障 ， 或 者 归 因 于 从 客户 的 工作 站 到 服务 器 操作 平台 的 传输 故障 。 前 者 属于 系 
统 故障 ， 应 该 归 入 系统 管理 。 后 者 属于 连接 故障 ， 应 该 归 入 网 络 的 故障 管理 。 系 统管 理 
归纳 为 在 网 络 中 的 系统 及 系统 资源 管理 。 网 络 管理 负责 网 络 资源 (如 集线器 、 交 换 机 、 
网 桥 、 路 由 器 和 网 关 )， 以 及 它们 通过 网 络 的 相互 连通 性 。 网络 管理 也 处 理 网 络 中 任意 两 
个 处 理 机 间 端 对 端的 连接 。 

6. 网 络 管理 标准 

为 了 支持 各 种 网 络 的 互 连 及 其 管理 ， 网 络 管理 需要 有 一 个 国际 性 的 标准 。 在 众多 的 
标准 化 组 织 中 ， 目 前 国际 上 公认 最 著名 、 最 具有 权威 的 是 国际 标准 化 组 织 ISO 和 国际 电 
信和 联盟 的 电信 标准 部 ITU-T 〈 即 原来 的 国际 电报 电话 咨询 委员 会 CCITT)， 而 计算 机 网 
络 中 ，IETF 的 因特网 技术 标准 已 成 为 实事 上 的 国际 标准 。 

1) ISO 

国际 标准 化 组 织 (ISO) 成 立 于 1947 年 ， 是 世界 上 最 庞大 的 一 个 国际 性 标准 化 专门 
机 构 ， 也 是 联合 国 的 甲 级 咨询 机 构 。 它 的 会 址 在 日 内 瓦 。 我 国 1947 年 就 加 入 了 ISO。 

ISO 的 成 员 分 为 P 成 员 和 O 成员,，P (participation) 成 员 有 表决 权 , 而 O (observer) 
成 员 不 参加 ISO 的 技术 工作 ， 只 是 与 ISO 保持 密切 联系 。 
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ISO 的 技术 工作 由 技术 委员 会 〈Technical Committee，TC) 具体 负责 ， 每 个 TC 可 
以 成 立 分 技术 委员 会 SC (subcommittee) 或 工作 组 (Work Group，WG)， 其 成 员 是 各 国 
的 专家 。 

网 络 管理 标准 是 由 ISO 的 第 97 委员 会 〈 即 信息 处 理 系统 技术 委员 会 ) 下 的 第 21 分 
委员 会 中 的 第 4 工作 组 制定 的 。 通 常 记 为 ISO/TC97/SC21/WG4。 

ISO 每 个 标准 的 制定 过 程 要 经 历 下面 的 5 个 步骤 : 

(1) 每 个 技术 委员 会 根据 其 工作 范围 拟定 相应 的 工作 计划 ， 并 报 理事 会 下 属 的 计划 
委员 会 批准 。 

(2) 相应 的 分 技术 委员 会 的 工作 组 根据 计划 编写 原始 工作 文件 ， 称 为 工作 草案 。 

(3) 分 技术 委员 会 或 工作 组 再 把 工作 草案 提交 技术 委员 会 或 分 技术 委员 会 作为 待 讨 
论 的 标准 建议 ， 称 委员 会 草案 Committee Draft，CD)， 而 ISO 则 要 给 每 个 CD 分 配 一 
个 唯一 的 编号 ， 相 应 的 文件 被 标记 为 ISO CDxxxx。 委 员 会 草案 CD 之 间 的 文件 叫做 建议 
草案 (Draft Proposal，DP)。 

(4) 技术 委员 会 将 委员 会 草案 发 给 其 成 员 征 求 意 见 。 若 CD 得 到 大 多 数 P 成 员 的 同 
意 ， 则 委员 会 草案 CD 就 成 为 国际 标准 草案 (Draft International Standard，DIS )， 其 编号 
不 变 。 

(5) ISO 的 中 央 秘书 处 将 DIS 分 别 送 给 ISO 的 所 有 成 员 国 投票 表决 。 有 75% 的 成 员 
国 赞成 则 通过 。 经 ISO 的 理事 会 批准 以 后 就 成 为 正式 的 国际 标准 (International Standard， 
IS)， 其 编号 不 变 ， 标 记 为 ISOxxxx。 

ISO 还 有 一 些 被 称 为 技术 报告 〈Technical Report，TR) 的 非 标 准 文件 。 这 些 文件 不 
需要 提交 相应 委员 会 通过 。TR 是 技术 委员 会 再 制定 标准 过 程 中 形成 的 一 些 中 间 结 果 ， 
可 以 给 TR 进行 编号 ， 标 记 为 ISO TRxxxx。 

当 各 阶段 的 标准 文件 需要 补充 修改 时 ，ISO 在 相应 标准 文件 的 后 面 增加 一 个 补 篇 
(AMendment，AM)。 补 篇 前 面 冠 以 标准 的 名 称 ， 如 委员 会 草案 补 篇 CDAM。 

ISO 规定 每 5 年 对 国际 标准 进行 一 次 复审 ， 过 时 的 标准 将 被 废除 。 

ISO 对 网 络 管理 的 标准 化 始 于 1979 年 ， 目 前 已 经 产生 了 一 部 分 国际 标准 。 尽 管 ISO 
的 网 络 管理 标准 因为 过 于 复杂 而 迟 迟 得 不 到 广泛 的 应 用 ， 但 其 他 一 些 国际 性 、 专 业 性 或 
区 域 性 的 标准 化 组 织 还 是 经 常 采用 ISO 的 网 络 管理 标准 作为 他 们 自己 参考 标准 ， 有 时 只 
是 换 一 个 编号 而 已 。 

2) ITU-T 
国际 电信 联盟 (International Telecommunication Union，ITU) 成 立 于 1934 年 ， 是 联 
合 国 下 属 的 15 个 专门 机 构 之 一 。 ITU 在 1989 年 下 设 5 个 常设 机 构 , 它们 分 别 是 秘书 处 、 
国际 电报 电话 咨询 委员 会 (Consultative Committee on International Telegraph and 
Telephone，CCITT)、 国 际 无 线 电 咨询 委员 会 (Consultative Committee of Intemational 
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Radio，CCIR)、 国 际 频率 登记 委员 会 (International Frequency Registration Board, IFRB) 
改 为 无 线 电 通信 和 部门 (Radicommunication Sector，RS) 和 电信 发 展 局 (Bureau of 
Development of Telecommunication，BDT)。 
CCITT 和 CCIR 的 主要 任务 是 研究 电报 、 电 话 和 无 线 电 通信 的 技术 标准 以 及 业务 、 
资费 和 发 展 通信 网 技术 的 经 济 问 题 。 为 国际 电 联 制定 各 种 规则 提供 技术 业务 依据 。 
随 着 技术 的 进步 ， 有 限 和 无 线 已 进行 了 融合 。 从 1993 年 起 ， 国 际 电 联 将 CCITT 和 
CCIR 合并 ， 成 立 一 个 新 的 电信 标准 化 部 门 〈Telecommunication Standardization Sector， 
TSS)。 而 原来 的 国际 频率 登记 委员 会 IFRB 改 为 无 线 电 通 信 部 门 RN， 原来 的 BDT 改 为 
电信 发 展 部 门 〈Telecommunication Development Sector，TDS)。 此 后 国际 电 联 有 关 电 信 
的 国际 标准 《〈 仍 称 为 建议 书 ) 均 由 电信 标准 化 部 门 TSS 制定 。 国 际 电 联 规定 ， 电 信 标 准 
化 部 门 的 简称 为 ITU-T。 
虽然 CCITT 和 CCIR 不 复 存在 ,但 它们 以 前 发 行 的 建议 书 仍然 有 效 。 在 应 用 原 CCITT 
制定 的 标准 时 , 可 按 原来 的 写法 , 如 CCITT X.25, 但 最 好 还 是 采用 新 的 写法 ITU-T X.25。 
ITU-T 的 标准 化 工作 由 其 设立 的 研究 组 (Study Group，SG) 进行 。 其 中 与 网 络 管理 
有 关 的 研究 组 有 以 下 4 个: 
。 SG2 网 络 运行 (network operation)。 有 关 电 信 业 务 定义 的 一 般 问题 该 组 进行 电信 
网 络 的 管理 和 网 络 的 服务 质量 的 研究 工作 。 

。 SG4 网 络 维护 (network maintenance)。 负 责 电信 管理 网 络 CTMN) 的 研究 ; 
有 关 网 络 及 其 组 成 部 分 的 维护 ， 确 立 所 属 的 维护 机 制 ， 由 其 他 研究 组 提供 的 专门 
维护 机 制 的 应 用 。 

。 SG7 数据 网 和 开放 系统 通信 (data networks and open systems communication)。 该 

组 负责 系统 互 连 中 的 管理 标准 研究 。 

。 SG11 交换 和 信 令 (switching and signalling)。 该 组 负责 电信 管理 网 的 研究 工作 。 

原 CCITT 已 经 用 X.700 系列 制定 了 一 系列 管理 标准 〈 建 议 书 )， 这 些 标准 和 ISO 的 
网 络 管理 标准 基本 上 相同 ， 只 是 采用 了 各 自 的 编号 体系 。 而 ITU-T 的 网 络 管理 标准 〈 建 
议 书 ) 中 最 著名 的 是 有 关 电 信 管 理 网 TMN 的 M 系列 建议 书 。 

3) IETF 

Intemet 体系 结构 委员 会 IAB 是 1992 年 从 ntemet 活动 委员 会 改名 而 来 , 它 是 Intemet 
协议 的 开发 和 一 般 体系 结构 的 权威 控制 机 构 。SNMP 的 标准 及 其 演变 都 是 在 Intemet 体 
系 结构 委员 会 的 引导 下 由 IETF 制定 和 发 布 的 。 

IAB 下 设 的 子 机构 称 为 任务 组 ， 共 设 两 个 。 它 们 的 时 间 表 和 任务 各 不 相同 ， 分 别 是 
Intemet 研究 任务 组 〈IRITF) 和 Intemet 工程 任务 组 (IETF)， 相 应 由 Intemet 研究 指导 组 
(IRSG) 和 Internet 工程 研究 组 (IERG) 领导 。 图 1-118 给 出 了 它们 之 间 的 关系 。IRTF 
主要 致力 于 长 期 研究 与 开发 ， 而 IETF 则 注重 于 相对 短期 的 工程 项 目 。 
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Internet 研 究 Internet 工程 


Internet 研究 指导 组 Internet 工程 研究 组 


Internet 研究 任务 组 Internet 工程 任务 组 
第 1 工作 组 | 和 第 n 工 作 组 | 


图 1-118 Intemet 体系 结构 委员 会 IAB 的 机 构 组 织 


为 了 更 有 效 的 工作 ，IETF 按 地 区 分 成 多 个 工作 组 (WG)。 每 个 工作 组 都 有 自己 具 
体 的 工作 目标 ， 通 常 每 年 开 三 次 会 。 工 作 组 是 由 对 请 求 注解 (Request For Comments， 
RFC) 文档 的 形成 有 技术 性 贡献 的 人 员 组 成 ， 他 们 都 是 为 制定 RFC 做 研究 工作 。 一 旦 工 
作 完 成 ， 相 关 的 工作 组 就 会 解散 ， 他 们 的 工作 成 果 通 常 以 RFC 的 形式 公布 于 众 。IESG 
由 每 个 地 区 工作 组 的 负责 人 和 下 TF 主席 组 成 ， 这 些 负责 人 称 为 地 区 主任 。 

SNMP 各 标准 阶段 的 规范 都 是 用 RFC 发 布 的。 最 早 的 SNMP 工作 组 于 1991 年 11 
月 解散 , 而 提出 SNMPv2C 的 RFC1901 一 1908 工作 组 也 于 1995 年 春 解散 。 除 了 以 SNMP 
标准 为 主要 内 容 的 工作 组 之 外 ， 许 多 新 组 纷纷 成 立 ， 研 究 与 SNMP 有 关 的 众多 课题 ， 其 
中 为 研究 新 的 MIB 组 而 成 立 的 工作 组 就 是 最 典型 的 代表 。 

4) 其 他 组 织 

除了 权威 的 国际 性 标准 化 组 织 以 外 ， 国 际 上 还 有 一 些 民间 团体 和 地 区 性 机 构 也 在 进 
行 有 关 网 络 管理 标准 化 方面 的 研究 。 他 们 的 结果 对 外 界 并 没有 约束 力 ， 只 是 作为 团体 的 
内 部 标准 ， 对 国际 标准 有 一 定 的 影响 。 

NMF (Network Management Forum) 是 由 120 多 个 公司 组 成 的 非 官方 标准 化 组 织 ， 
该 组 织 的 成 员 主要 由 网 络 运营 公司 、 计 算 机 厂商 、 电 信 设 备 制 造 厂 商 、 软 件 厂 商 、 政 府 
机 构 、 系 统 集成 商 和 银行 等 组 成 NME 的 目标 是 针对 互 连 信息 系 统 中 公共 的 、 基 于 标准 
的 管理 办 法 的 需求 进行 世界 性 的 推广 和 实现 。NME 并 不 定义 自己 的 标准 , 它 只 是 在 ISO 
和 ITU-T 的 标准 中 定义 功能 选项 ， 与 任何 国际 性 标准 化 团体 都 没有 正式 的 联盟 关系 。 
NME 的 规范 形成 的 文档 集 ， 称 为 OMNIPoints〈 开 放 管 理 互 操作 性 指南 )。 


1.9.2 ”管理 信息 的 组 织 与 表示 


1.9.2.1 抽象 语法 表示 ASN.1 


ASN.1 是 由 CCITT 和 ISO 共同 开发 的 正规 语言 ， 它 与 应 用 层 一 起 使 用 ， 可 在 系统 
间 进 行 数据 的 传输 。 作 为 一 种 形式 语言 ， ASN.1 有 严格 的 BNF 定义 。 我 们 不 想 全 面 研究 
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它 的 BNF 定义 ， 而 是 自 底 向 上 地 解释 ASN.1 基本 概念 ， 然 后 给 出 一 个 抽象 数据 类 型 的 
例子 。 下面 列 出 ASN.1 文本 的 书写 规则 , 这 些 规 则 叫做 文字 约定 (Lexical Conventions, LC)。 

(1) 书写 的 布局 是 无 效 的 ， 多 个 空格 和 空 行 等 效 于 一 个 空格 。 

(2) 用 于 表示 值 和 字段 的 标识 符 、 类 型 指针 《类 型 名 ) 和 模块 名 由 大 小 写字 母 、 数 
字 和 短线 (hyphen) 组 成 。 

(3) 标识 符 以 小 写字 母 开头 。 

(4) 类 型 指针 和 模块 名 以 大 写字 母 开 头 。 

(5) ASN.1 定义 的 内 部 类 型 全 部 用 大 写字 母 表示 。 

(6) 关键 字 全 部 用 大 写字 母 表 示 。 

(7) 注释 以 一 对 短线 〈--) 开始 ， 以 一 对 短线 或 行 尾 结束 。 

在 ASN.1 中 ， 每 一 个 数据 类 型 都 有 一 个 标签 〈tag)， 标 签 有 类 型 和 值 〈 见 表 1-16)。 
数据 类 型 是 由 标签 的 类 型 和 值 唯一 决定 的 ， 这 种 机 制 在 数据 编码 时 有 用 。 标 签 的 类 型 分 
4 种 。 

。 通用 标签 : 用 关键 字 UNIVERSAL 表示 。 带 有 这 种 标签 的 数据 类 型 是 由 标准 定义 

的 ， 适 用 于 任何 应 用 。 

。 应 用 标签 : 用 关键 字 APPLICATION 表示 ， 是 由 某 个 具体 应 用 定义 的 类 型 。 

。 上 下 文 专用 标签 :这 种 标签 在 文本 的 一 定 范围 (例如 一 个 结构 中 适用 。 

。 私有 标签 : 用 关键 字 PRIVATE 表示 ， 这 是 用 户 定义 的 标签 。 


表 1-16 ASN.1 定义 的 通用 类 型 


标签 值 集合 
UNIVERSALI1 BOOLEAN TURE, FALSE 
UNIVERSAL2 正 数 、 人 负数 和 0 
UNIVERSAL3 0 个 或 多 个 比特 组 成 的 序列 
UNIVERSALA 0 个 或 多 个 字 节 组 成 的 序列 
UNIVERSAL5 NULL 空 类 型 
UNIVERSAL6 OBJECTIDENTIFIER 对 象 标识 符 
UNIVERSAL7 Object Descriptor 对 象 描述 符 
UNIVERSALS EXTERNAL 外 部 文件 定义 的 类 型 
UNIVERSAL9 REAL 所 有 实数 
UNIVERSAL10 ENUMERATED 整数 值 的 表 ， 每 个 整数 有 一 个 名 字 
UNIVERSAL11 一 15 | 保留 为 ISO 8824 保留 
UNIVERSAL16 SEQUENCE，SEQUENCE OF | 序列 
UNIVERSAL17 SET, SETOF 集合 


UNIVERSALIS 数字 0 一 9 和 空格 


UNIVERSAL19 PrintableString 可 打印 字符 串 
UNIVERSAL20 TeletexString 由 CCITTT61 建议 定义 的 字符 集 
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续 表 

标 签 类 型 值 集合 
UNIVERSAL21 VideotexString 由 CCITTT100 和 工 101 建议 定义 的 字符 集 
UNIVERSAL22 IA5String 国际 标准 字符 集 5 (相当 于 ASCI 码 ) 
UNIVERSAL23 UTCTime 时 间 
UNIVERSAL24 GeneralizedTime 时 间 
UNIVERSAL25 GraphicString 由 ISO 8824 定义 的 字符 集 
UNIVERSAL26 VisibleString 由 ISO 646 定义 的 字符 集 
UNIVERSAL27 通用 字符 集 


UNIVERSAL28. . 为 ISO 8824 保留 


ASN.1 定义 的 通用 数据 类 型 有 20 多 种 ， 标 签 值 类 型 都 是 UNIVERSAL， 如 表 1-16 
所 示 。 这 些 数 据 类 型 可 分 为 四 大 类 。 

。 简单 类 型 : 由 单一 成 分 构成 的 原子 类 型 。 

。 构造 类 型 : 由 两 种 以 上 成 分 构成 的 构造 类 型 。 

。 标签 类 型 : 由 已 知 类 型 定义 的 新 类 型 。 

。 其 他 类 型 : 包括 CHOICE 和 ANY 两 种 类 型 。 

ASN.1 中 的 应 用 类 型 与 特定 的 应 用 有 关 ， 根 据 网 络 管理 的 实际 特点 ，SNMP 补充 了 
一 些 特有 的 类 型 ，RFC1155 定义 了 以 下 6 种 应 用 类 型 。 

(1 ) NetworkAddress::=CHOICE{intemet IpAddress} ”这 种 类 型 用 ASN.1 的 
CHOICE 构造 定义 , 可 以 表示 不 同类 型 的 网 络 地 址 。 目 前 只 有 Intemet 地 址 ， 即 人 P 地 址 。 

(2) IpAddress::=[APPLICATION 0] IMPLICIT OCTET STRING (SIZE (4)) ”32 位 
的 全 地 址 ， 定 义 为 OCTET STRING 类 型 。 

(3) Counter::= [APPLICATION 1] IMPLICIT INTEGER (0..4294967295) ”计算 器 
类 型 是 一 个 非 负 整 数 ， 其 值 可 增加 ,但 不 能 减少 ， 达 到 最 大 值 22_1 后 回 0， 再 从 0 开始 
增加 ， 计 数 器 可 用 于 计算 收 到 的 分 组 数 或 字 节 数 。 

(4) Gauge::=[APPLICATION 2] IMPLICIT INTEGER (0..4294967295) ”计量 器 类 
型 是 一 个 非 负 整 数 ， 其 值 可 增加 ， 也 可 减少 。 计量 器 的 最 大 值 为 2 一 1。 与 计数 器 不 同 的 
地 方 是 计量 器 达到 最 大 值 后 不 回 0， 而 是 锁定 在 2*>-1， 直 到 复位 ， 计 量 器 可 用 于 表示 存 
储 在 缓冲 队列 中 的 分 组 数 。 

(5) TimeTicks::=[APPLICATION 3] IMPLICIT INTEGER (0..4294967295) ”时 钟 类 
型 是 非 负 整数 。 计 数 范围 1~2”-1， 以 0.01s 为 单位 递增 ， 可 表示 从 某 个 事件 (例如 设 
备 启动 ) 开 始 到 目前 经 过 的 时 间 。 

(6) Opaque::= [APPLICATION 4] OCTET STRING 不 透明 类 型 即 未知 数 据 类 型 ， 
它 可 以 表示 任意 类 型 。 这 种 数据 编码 时 按 OCTET STRING 处 理 ， 管 理 站 和 代理 能 解释 
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1.9.2.2 ”基本 编码 规则 


BER 码 有 三 个 字段 :标签 (tag) 字 段 是 关于 标签 类 别 和 编码 格式 的 信息 ; 长度 (length) 
字段 定义 内 容 字段 的 长 度 ; 值 (value) 字段 包含 实际 的 数据 。 因 此 ， 一 个 BER 编码 实 
际 是 一 个 TLV 三 元 组 〈 标 签 ， 长 度 ， 值 )。 每 个 字段 都 是 一 个 或 多 个 8 位 位 组 组 成 ， 结 
构 如 图 1-119 所 示 。 


标签 8 位 位 组 | 长 度 8 位 位 组 内 容 8 位 位 组 


8 7 6 号 2 


标签 类 别 | P/C 标签 号 


0 0 Universal 
0 1 Application 


1 0 Context-Specific 


1 1 Private 


1-119 TLV 编码 格式 


1. 标签 字段 

标签 字段 对 标签 类 别 、 标 签 号 和 编码 格式 进行 编码 。 其 格式 如 图 1-119 所 示 。 标 签 
类 别 用 二 位 表示 ， 共 有 4 类 标签 。 这 4 类 标签 的 编码 如 图 1-119 所 示 。 

另外 用 1 位 P/C 指明 编码 格式 : 0 代表 简单 类 型 ，1 代表 构造 类 型 。 简 单 编码 是 一 个 
数据 值 编码 ， 其 值 可 用 8 位 位 组 直接 表示 这 个 数据 值 。 而 构造 编码 的 值 可 用 多 个 8 位 位 
组 数据 值 进行 编码 。 不 同类 型 的 数据 值 可 能 是 简单 的 ， 也 可 能 是 构造 的 。 如 果 标 签 号 在 
0 一 30 之 间 ， 则 标签 号 可 以 用 其 余 5 位 比特 表示 。 当 标签 号 大 于 30 时 ， 标 签字 段 就 需要 
一 个 以 上 的 字 节 。 这 时 需要 将 标签 字段 的 第 一 个 8 位 位 组 的 后 5 位 全 部 置 1， 标 签字 段 
的 后 继 8 位 位 组 除 最 后 一 个 外 ， 最 高 位 均 置 1。 这 样 将 后 继 8 位 位 组 的 低 7 位 连接 在 一 
起 就 可 以 得 到 标签 号 。 并 且 第 一 个 后 继 8 位 位 组 不 能 所 有 位 全 为 0， 这 是 为 了 保证 标签 
号 的 编码 长 度 最 短 。 

2. 长 度 字段 

长 度 字段 用 来 表示 值 字段 的 8 位 位 组 数 。 根 据 值 字段 的 长 度 在 编码 时 是 否 可 知 ， 长 
度 字段 的 编码 可 以 分 为 确定 格式 (definite form) 和 不 确定 格式 (indefinite form)。 

对 于 确定 格式 ， 长 度 字段 由 一 个 或 多 个 8 位 位 组 组 成 。 当 长 度 字段 只 包括 一 个 8 位 
位 组 时 ， 可 以 表示 小 于 128 个 8 位 位 组 的 值 字段 的 长 度 ， 这 时 称 为 短 格式 。 短 格式 的 长 
度 字段 8 位 位 组 的 第 8 位 为 0， 第 7 位 至 第 1 位 是 长 度 的 编码 (可 以 为 0)， 编 码 值 是 无 
符号 二 进 制 整 数 ， 以 第 7 位 为 最 高 有 效 位 。 例 如 ，L=38 的 编码 是 〈00100110) >。 
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当 值 字段 的 精确 长 度 已 知 ， 并 且 长 度 大 于 或 等 于 128 字 节 时 ， 采 用 长 格式 。 长 格式 
将 长 度 字段 的 第 一 个 字 节 最 高 位 置 1， 其 余 7 位 表示 后 面 有 多 少 字 节 用 来 表示 值 字段 的 
长 度 。 其 中 后 7 位 全 1 的 值 保留 不 使 用 ， 这 是 为 了 将 来 可 能 的 扩展 。 在 这 种 情况 下 ， 长 
度 字段 可 能 的 最 大 长 度 是 127B， 其 中 126B 用 来 表示 值 字段 的 长 度 ， 这 显然 足够 了 。 和 
短 格式 一 样 ， 长 格式 的 编码 值 也 是 无 符号 二 进 制 整数 ， 以 第 1 个 后 继 8 位 位 组 的 第 8 位 
为 最 高 有 效 位 。 例 如 ， 工 = 二 201 的 编码 是 〈1000000111001001) ,。 

当 内 容 字段 的 长 度 在 编码 时 无 法 确定 ， 则 采用 不 确定 格式 。 不 确定 格式 使 用 以 内 容 
结束 8 位 位 组 来 标记 编码 的 结束 。 不 确定 格式 的 长 度 字段 是 一 个 8 位 位 组 , 第 8 位置 1， 
第 7 位 至 1 位 为 0， 即 〈10000000) >。 当 8 位 位 组 内 容 结束 时 ， 用 两 个 连续 的 8 位 位 组 
标识 。 

3. 值 字 段 

内 容 字段 由 0 个 或 多 个 8 位 位 组 组 成 ， 并 按 不 同类 型 数据 值 的 不 同 规定 对 它们 进行 
编码 。 

布尔 值 的 编码 应 是 简单 类 型 的 。 值 8 位 位 组 由 1 个 8 位 位 组 组 成 。 若 布尔 值 是 FALSE， 
则 8 位 位 组 是 00。 若 布尔 值 是 TRUE，8 位 位 组 是 FF， 由 发 送 者 选择 。 例 如 ， 布 尔 值 
TRUE 的 编码 是 01 01 FF; 布尔 值 FALSE 的 编码 是 01 01 00。 其 中 第 一 个 字 节 表示 布尔 
类 型 的 标签 (UNIVERSAL 1) 号 ， 第 二 个 字 节 指明 值 部 分 的 长 度 为 1 个 字 节 。 

整数 值 的 编码 应 是 简单 类 型 的 。 值 8 位 位 组 由 一 个 或 多 个 8 位 位 组 组 成 。 整 数值 采 
用 二 进 制 补 码 形式 编码 。 补 码 从 高 位 到 低位 排列 在 值 的 第 一 字 节 的 第 8 位 到 第 1 位 ， 第 
二 字 节 的 第 8 位 到 第 1 位 ， 以 下 按 顺 序 类 推 。 编 码 取 需 要 的 最 少 字 节 数 ， 因 此 不 可 能 出 
现 第 一 字 节 的 所 有 位 和 第 二 字 节 的 第 8 位 全 0 或 全 1 的 情况 。ASN.1 的 其 他 数据 类 型 的 
编码 方式 请 参考 相关 书籍 。 


1.9.2.3 ”管理 信息 结构 (SMID) 


经 SNMP 协议 传输 的 所 有 管理 信息 都 被 收集 到 一 个 或 多 个 管理 信息 库 (MIB) 中 ， 
被 管 对 象 类 型 按照 SMI 和 标识 定义 。 管理 信息 结构 主要 包括 以 下 三 个 方面 。 
。 对 象 的 标识 ， 即 对 象 的 名 字 。SMI 采用 的 是 层次 型 的 对 象 命名 规则 ， 所 有 对 象 构 
成 一 棵 命名 树 ， 连 接 树 根 节点 至 对 象 所 在 节点 路 径 上 所 有 节点 标识 便 构成 了 该 对 
象 的 对 象 标 识 符 。 
。 对 象 的 语法 ， 即 如 何 描述 对 象 的 信息 。 对 象 的 信息 表示 采用 的 是 抽象 语法 表示 的 
子 集 ， 同 时 也 针对 SNMP 的 需要 作 了 一 定 的 扩充 。 表 示 管理 对 象 至 少 需 要 包括 4 
个 方面 的 属性 : 类 型 、 存 取 方 式 、 状 态 和 对 象 标识 。 
。 对 象 的 编码 。 代 理 和 管理 站 之 间 进 行 通信 必须 对 对 象 信息 统一 编码 ， 为 此 ，SMI 
规定 了 对 象 信息 的 编码 采用 基本 编码 规则 。 
被 管 对 象 被 定义 为 所 代表 的 资源 的 管理 视图 。 一 个 资源 的 管理 视图 不 是 对 资源 的 简 
单 观察 结果 ， 而 要 对 它 进行 取舍 和 加 工 ， 即 要 对 其 进行 管理 说 明 ， 确 定 资源 的 哪些 方面 
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由 管理 者 监控 。 因 此 ， 被 管 对 象 不 是 被 管 资源 的 代名词 ， 而 是 定义 了 一 个 资源 的 一 般 操 
作 之 外 的 管理 能 力 。 

1. 对 象 的 标识 

SMI 明确 要 求 所 有 被 管理 的 信息 和 数据 都 要 由 管理 树 来 标识 ， 如 图 1-120 所 示 。 这 
棵 管理 树 来 源 于 OSI 的 定义 ， 它 具有 从 根 开始 的 严格 分 层 化 结构 。 管 理 树 的 分 支 和 叶子 
是 用 数字 和 名 字 两 种 方式 显示 的 。 在 管理 树 中 通 向 一 个 节点 或 叶子 的 路 径 是 用 对 象 标识 
符 表示 的 。 树 中 的 各 个 分 支 是 用 数值 表示 的 ， 因 此 对 象 标 识 符 就 构成 了 一 个 整数 序列 ， 
中 间 是 以 “.” 号 间隔 而 成 的 。 


ccitt(0) iso() joint-iso- ccitt(2) 
org(3) 
dod(6) 
internet(]) 
directory(1) mgmt(2) experimental(3) private(4) 
mib-2(1) enterprises(1) 


图 1-120 MIB 树 型 结构 


管理 树 的 根 节点 是 一 个 虚拟 节点 ， 没 有 实际 对 应 的 名 字 和 编码 。 处 于 叶子 位 置 上 的 
对 象 是 实际 的 被 管 对 象 ， 每 个 实际 的 被 管 对 象 表 示 某 些 被 管 资源 、 活 动 或 相关 信息 。 树 
型 结构 本 身 定义 了 一 个 将 对 象 组 织 到 逻辑 上 相关 的 集合 之 中 的 方法 。 

在 MIB 中 每 个 对 象 都 被 赋予 一 个 对 象 标识 符 〈object identifier)， 以 此 命名 对 象 。 由 
于 对 象 标 识 符 的 值 是 层次 结构 的 ， 因 此 命名 方法 本 身 也 能 用 于 确认 对 象 的 结构 。 如 
图 1-120 所 示 ， 从 根 节点 开始 , 第 一 级 有 三 个 节点 : 国际 电报 电话 咨询 委员 会 ccitt 分 支 、 
国际 标准 化 组 织 iso 分 支 和 joint-iso-ccitt 分 支 。 通常 使 用 的 管理 信息 都 是 在 iso (1) 子 树 
下 面 定义 ， 其 中 包括 ISO 为 其 他 组 织 定 义 的 子 树 org (3)。 在 org (3) 节点 下 的 一 个 子 
树 是 美国 国防 部 使 用 的 dod (6), 而 在 该 节点 下 的 子 节点 intemet (1) 定义 了 所 有 Internet 
所 使 用 的 协议 ， 包 含 了 与 因特网 有 关 的 所 有 的 管理 对 象 ， 该 子 树 由 IAB 统一 管理 ， 其 完 
整 的 对 象 标识 符 为 1.3.6.1。 在 intemet 节点 下 定义 了 4 个 子 树 : directory (1)、mgmt (2)、 
experimental (3) 和 private (4)。 

SNMP 定义 的 管理 对 象 全 部 在 节点 intemet 下 ，intermet 的 对 象 标识 符 是 : 
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intemet OBJECT IDENTIFIER::={iso (1) org (3) dod (6) 1} -- 或 者 1.3.6.1 
因此 SNMP 管理 对 象 的 对 象 标识 符 都 是 以 前 级 1.3.6.1 开始 ,所 以 在 定义 MIB 的 RFC 
中 都 略 去 了 这 一 前 级， 而 以 intemet 作为 默认 的 公共 前 级 ， 对 象 标识 符 简 记 为 父 节点 的 
名 字 标 识 和 本 节点 的 数字 标识 ， 如 下 所 示 。 

memt OBJECT IDENTIFIER::={intemet 2} 

mib-2 OBJECT IDENTIFIER::={mgemt 1} 

system OBJECT IDENTIFIER::={mib-2 1} 

sysName OBJECT IDENTIFIER::={system 5} 

2. 管理 信息 结构 的 定义 

1) 模块 定义 

ASN.1 的 基本 单位 是 模块 ， 用 于 定义 一 个 抽象 数据 类 型 ，ASN.1 模块 实际 上 是 由 一 
组 类 型 定义 和 值 定义 组 成 。 类 型 定义 就 是 说 明 类 型 的 名 称 和 类 型 的 格式 ， 值 定义 是 规定 
将 什么 样 的 具体 值 赋 给 某 一 类 型 。 模 块 定义 的 基本 形式 为 : 


<moduleIdentifier> DEFINITIONS ::= 
BEGIN 
EXPORTS 
IMPORTS 
AssignmentList 
END 


其 中 的 moduleIdentifier 是 模块 名 ， 模 块 名 的 第 一 个 字母 必须 大 写 。EXPORTS 结构 
用 于 定义 其 他 模块 可 以 移植 的 类 型 或 值 。 而 IMPORTS 结构 规定 了 模块 中 某 些 定义 是 从 
其 他 模块 中 移植 过 来 的 。 AssignmentList 部 分 包含 模块 定义 的 所 有 类 型 、 值 和 宏 定义 。 
2) 宏 表示 
ASN.1 宏 提 供 了 创建 “模板 ”用 来 定义 宏 的 方法 ，MIB 对 象 就 是 采用 宏 定义 模板 来 
定义 。 这 一 小 节 介绍 定义 宏 的 方法 ， 为 此 我 们 需要 区 分 三 个 不 同 的 概念 。 
。 宏 表 示 : ASN.1 提供 的 一 种 表示 机 制 ， 用 于 定义 宏 。 
。 宏 定 义 : 用 宏 表 示 定 义 的 一 个 宏 ， 代 表 一 个 宏 实例 的 集合 。 
。 宏 实 例 : 用 具体 的 值 代 蔡 宏 定义 中 的 变量 而 产生 的 实例 ， 代 表 一 种 具体 的 类 型 。 
宏 定 义 的 模板 形式 如 下 : 
<macroname> MACRO::= 
BEGIN 
TYPE NOTATION ::=<user defined type notation> 
VALUE NOTATION ::=<user defined value notation> 


<supporting syntax> 
END 
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其 中 macroname 是 宏 的 名 字 ， 必 须 全 部 大 写 。 宏 定义 由 类 型 表示 (TYPE 
NOTATION)、 值 表示 (VALUE NOTATION) 和 支持 产生 式 (supporting syntax ) 三 部 
分 组 成 ， 而 最 后 部 分 是 任 选 的 ， 是 关于 宏 定义 体 中 类 型 的 详细 语法 说 明 。 这 三 部 分 都 由 
Backus-Naur 范式 说 明 。 当 用 一 个 具体 的 值 代替 宏 定义 中 的 变量 或 参数 时 就 产生 了 宏 实 
例 ， 它 表示 一 个 实际 的 ASN.1 类 型 〈 叫 做 返回 的 类 型 )， 并 且 规 定 了 该 类 型 可 取 的 值 的 
集合 〈 叫 做 返回 的 值 )。 可 见 宏 定义 可 以 看 做 是 类 型 的 类 型 ， 或 者 说 是 超 类 型 。 另 一 方面 
也 可 以 把 宏 定 义 看 做 是 类 型 的 模板 ， 用 这 种 模板 制造 出 形式 相似 、 语 义 相关 的 许多 数据 
类 型 。 这 就 是 宏 定 义 的 主要 用 处 。 

下 面 是 取 自 RFC1212 的 关于 对 象 类 型 的 宏 OBJECT-TYPE 的 定义 , 其 中 包含 多 个 支 
持 产生 式 。 


OBJECT -TYPE MACRO::= 


BEGIN 
TYPE NOTATION ::= "Syntax" type (TYPE ObjectSyntax) 
“ACCESS Access 
"STATUS" Status 
DescrPart 
ReferPart 
IndexPart 
DefValPart 
VALUE NOTATION ::= value (VALUE ObjectName) 
Access::= "read-only" | "read-write" | "write-only" | "not-accessible" 
Status::= "mandatory" | "optional" | " obsolete" 
DescrPart ::=" DESCRIPTION" value (description DisplayString) | empty 
ReferPart : " REFERENCE" value (reference Displaystring) | empty 
IndexPart ::= ™" INDEX" " {" IndexTypes " }" | empty 
IndexTypes ::=IndexType | IndexTypes "," IndexType 
IndexType ::=value (indexobject ObjectName) | type (indextype) 
DefValPart ::= "DEFVAL"" {"value (defvalue ObjectSyntax) "}" | empty 
DisplayString: :=OCTET STRING SIZE (0..255) 
END 


TYPE NOTATION 包含 7 个 子 句 ， 其 中 前 3 个 是 必 选 的 ， 每 个 子 句 都 描述 对 象 的 不 
同属 性 ， 有 具体 解释 如 下 。 
。 SYNTAX: 表示 对 象 类 型 的 抽象 语法 ， 在 宏 实 例 中 关键 字 type 应 由 ObjectSyntax 
代替 ， 即 上 面 提 到 的 通用 类 型 和 应 用 类 型 。 我 们 有 : 


ObjectSyntax ::=CHOICE { simple Simplesyntax, 
application-wide ApplicationSsyntax} 
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SimpleSyntax 是 指 5 种 通用 类 型 ， 而 ApplicationSyntax 是 指 6 种 应 用 类 型 。 

。 ACCESS: 定义 SNMP 协议 访问 对 象 的 方式 。 可 选择 的 访问 方式 有 只 读 
(read-only)、 读 写 (read-write)、 只 写 〈write-only) 和 不 可 访问 (notraccessible) 
4 种 ， 这 是 通过 访问 子 句 定义 的 。 任 何 实现 必须 支持 宏 定 义 实例 中 定义 的 访问 方 
式 ， 还 可 以 增加 其 他 访问 方式 ， 但 不 能 减少 。 

。 STATUS: 说 明 实 现 是 否 支持 这 种 对 象 。 状 态 子 句 中 定义 了 必要 的 〈mandatory) 

和 任 选 的 〈optional) 两 种 支持 程度 。 过 时 的 〈obsolete) 是 指 老 标 准 支持 而 新 标 

准 不 支持 的 类 型 。 如 果 一 个 对 象 被 说 明 为 可 取消 的 〈deprecated)， 则 表示 当前 必 

须 支持 这 种 对 象 ， 但 在 将 来 的 标准 中 可 能 被 取消 。 

DescrPart: 这 个 子 句 是 任 选 的 ， 用 文字 说 明 对 象 类 型 的 含义 。 

。 ReferPart: 这 个 子 句 也 是 任 选 的 ， 用 文字 说 明 可 参考 在 其 他 MIB 模块 中 定义 的 
对 象 。 

。 IndexPart: 用 于 定义 表 对 象 的 索引 项 。 

。 DefValPart 定义 了 对 象 实例 默认 值 ， 这 个 子 句 是 任 选 的 。 

最 后 一 部 分 是 值 的 产生 式 规则 ， 该 部 分 也 是 任 选 的 。 

3) 宏 实例 的 定义 

当 用 一 个 具体 的 值 代 替 宏 定义 中 的 变量 〈 或 参数 ) 时 就 产生 了 宏 实例 ， 它 表示 一 个 


实际 的 ASN.1 类 型 〈 叫 做 返回 的 类 型 )， 并 且 规 定 了 该 类 型 可 取 的 值 的 集合 〈 叫 做 返回 
的 值 )。 宏 实例 〈 即 ASN.1 类 型 ) 的 定义 首先 是 对 象 名 ， 然 后 是 宏 定义 的 名 字 ， 最 后 是 
宏 定 义 规定 的 宏 体 部 分 。 下 面 给 出 对 象 定义 的 例子 。 


tcpMaxConn OBJECT-TYPE 
SYNTAX INTEGER 
ACCESS read-only 
STATUS mandatory 
DESCRIPTION 
"Thelimit onthetotal number of TCP connectiontheentitycansupport" 
:={tcp 41 


1.9.2.4 ”管理 信息 库 (MIB) 


1988 年 8 月, 在 RFC1066 中 公布 了 第 一 组 被 管 对 象 ， 被 认为 是 MIB-1, 它 包括 了 8 


个 对 象 组 ， 约 100 个 对 象 。 


System OBJECT IDENTIFIER ::= {mib1l} 
interfaces ”OBJECT IDENTIFIER := {mb2} 
at OBJECT IDENTIFIER := {mib3} 
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计 OBJECTIDENTIFIER := { mib 4} 
icmp OBJECTIDENTIFIER := {mib5} 
tcp OBJECT IDENTIFIER ::= { mib 6} 
udp OBJECT IDENTIFIER := { mib 7} 
egp OBJECT IDENTIFIER := { mib 8 } 


厂商 很 快 就 接受 了 MIB-1， 在 他 们 实现 的 管理 站 和 代理 中 把 它 作 为 开发 成 本 合适 的 
SNMP 协议 的 基础 。 然 而 ， 不 久 以 后 ， 一 个 问题 就 变 得 非常 突出 ， 对 一 个 网 络 管理 系统 
而 言 ，100 多 个 变量 只 能 表示 整个 网 络 的 一 小 部 分 。 

1990 年 5 月 , 在 RFC1158 中 公布 了 MIB-2。MIB-2 引入 了 cmot、 transmission、snmp 
这 三 个 新 的 对 象 组 ， 从 而 扩展 了 MIB-1 已 有 的 对 象 组 。 

MIB-2 除了 引入 新 的 对 象 组 ， 还 引入 了 很 多 新 的 对 象 ， 它 们 有 : 

。 system 组 中 增加 sysContact、sysName、sysLocation 和 sysServices 这 4 个 对 象 。 

。 interfaces 组 的 表 对 象 ifTable 中 增加 ifSpecific 对 象 。 

。 ip 组 的 表 对 象 ipAddrTable 中 增加 ipAdEntReasmMaxSize 对 象 ， 表 对 象 

ipRoutingTable 中 增加 ipRouteMask 对 象 ， 而 且 增 加 表 对 象 ipNetToMediaTable。 

。 tcp 组 中 增加 tcpInErrs 和 tcpOutRsts。 

。 udp 组 中 增加 表 对 象 udpTable。 

。 egp 组 中 增加 egpAs 对 象 。 

在 RFC1213 中 ，MIB-2 被 彻底 修订 并 采纳 RFC1212 中 的 简洁 MIB 定义 ， 这 一 文档 
使 RFC1158 失效 。RFC1213 在 以 下 方面 做 了 修订 : 

(1) 修改 文本 ， 使 MIB 显示 没有 歧义 ， 引 入 了 DisplayString 数据 类 型 。 

(2) 与 SMIMIB 和 SNMP 更 强 的 向 下 兼容 性 。 例 如 可 取消 的 (depreciated) 对 象 的 
引用 ，MIB 就 可 以 知道 某 些 对 象 已 经 在 后 来 的 版 本 标准 中 删除 。MIB-2 中 , 将 at 组 中 的 
对 象 标记 为 可 取消 的 对 象 。 

(3) 增强 对 多 协议 环境 的 支持 。 在 多 协议 网 络 中 的 MIB 必须 能 够 支持 多 个 地 址 映 
射 表 。 

(4) 创建 适应 各 具体 实现 的 MIB 附加 选项 , 例如 在 具体 实现 中 可 以 用 指定 的 正 整数 
标识 他 地址 和 路 由 表 。 

管理 信息 库 的 第 一 个 版 本 MIB-1 目前 已 经 被 在 RFC1213 中 定义 的 MIB-2 所 取代 ， 
MIB-2 保留 了 MIB-1 的 对 象 标识 符 。 图 1-121 显示 了 MIB-2 的 结构 。 

需要 说 明 的 是 ，MIB-2 包含 了 11 个 组 ， 其 中 ， 地 址 转换 组 at (3) 已 经 废弃 了 多 年 ， 
并 且 将 随 着 RFC1213 的 引退 而 消失 ，CMOT 的 开发 也 陷入 停顿 状态 。 对 象 组 的 具体 描 
述 如 表 1-17 所 示 。 
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mib-2(1) 


system(1) snmp(11) 
interfaces(2) transmission(10) 


at(3) cmot(9) 


icmp(5) tcp(6) udp(7) 
1-121 MIB-2 中 的 组 及 部 分 对 象 


表 1-17 MIB-2 对 象 组 信息 


对 象 组 类 别 管理 功能 

system (1) 配置 、 故 障 

interfaces (2) 配置 、 性 能 、 故 障 、 计 费 
ip (4) 配置 、 性 能 、 故 障 、 计 费 
icmp (5) 配置 、 性 能 、 故 障 

tep (6) 配置 、 性 能 、 计 费 、 安 全 
udp (7) 系统 中 UDP 实现 和 运行 信息 配置 、 性 能 、 计 费 、 安 全 
cep (8) 配置 、 性 能 、 故 障 


transmission (10) 提供 与 子 网 类 型 有 关 的 专用 信息 配置 、 性 能 、 故 障 、 计 费 
snmp (11) 系统 中 SNMP 实现 和 运行 信息 配置 、 性 能 、 故 障 、 计 费 、 安 全 


1.9.3 简单 网 络 管理 协议 


1. SNMP 原理 

简单 网 络 管理 协议 CSNMP) 是 专门 设计 用 来 管理 网 络 设备 《服务 器 、 工 作 站 、 路 
由 器 、 交 换 机 及 HUBS 等 ) 的 一 种 标准 协议 ， 它 是 一 种 应 用 层 协 议 。SNMP 使 网 络 管 
理 员 能 够 管理 网 络 运行 ， 发 现 并 解决 网 络 问题 以 及 规划 网 络 发 展 。 通 过 SNMP 接收 循 
环 消息 (及 事件 报告 ) 网 络 管理 系统 获知 网 络 出 现 问题 .目前 SNMP 有 三 种 版 本 SNMPv1、 
SNMPv2、SNMPv3。 

图 1-122 给 出 了 Intemet 网 络 管理 的 体系 结构 。 由 于 SNMP 定义 为 应 用 层 协 议 ， 所 
以 它 依赖 于 UDP 数据 报 服务 。 同 时 SNMP 实体 向 管理 应 用 程序 提供 服务 ， 它 的 作用 是 
把 管理 应 用 程序 的 服务 调用 变 成 对 应 的 SNMP 协议 数据 单元 ， 并 利用 UDP 数据 报 发 送 
出 去 。 
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图 1-122 简单 网 络 管理 协议 的 体系 结构 


之 所 以 选择 UDP 协议 而 不 是 TCP 协议 , 这 是 因为 UDP 效率 较 高 , 这 样 实现 网 络 管 
理 不 会 太 多 地 增加 网 络 负载 。 但 由 于 UDP 不 是 很 可 靠 ， 所 以 SNMP 报 文 容易 丢失 。 为 
此 ， 对 SNMP 实现 的 建议 是 对 每 个 管理 信息 要 装配 单独 的 数据 报 独立 发 送 ， 而且 报 文 应 
短 些 ， 不 超过 484 个 字 节 。 

每 个 代理 进程 管理 若干 管理 对 象 ， 并 且 与 某 些 管理 站 建立 团体 (community) 关系 ， 
如 图 1-123 所 示 。 团 体 名 作为 团体 的 全 局 标识 符 ， 是 一 种 简单 的 身份 认证 手段 。 一 般 来 
说 代理 进程 不 接受 没有 通过 团体 名 验证 的 报 文 ， 这 样 可 以 防止 假冒 的 管理 命令 ， 同 时 在 
团体 内 部 也 可 以 实行 专用 的 管理 策略 。 


Ea" 


图 1-123 ”SNMPv1 的 团体 关系 


SNMP 规定 了 5 种 协议 数据 单元 PDU (也 就 是 SNMP 报 文 )， 用 来 在 管理 进程 和 代 
理 之 间 的 交换 。 
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(1) GetRequest 操作 : 从 代理 进程 处 提取 一 个 或 多 个 参数 值 。 

(2) GetNextRequest 操作 : 从 代理 进程 处 提取 紧 跟 当前 参数 值 的 下 一 个 参数 值 。 

(3) SetRequest 操作 : 设置 代理 进程 的 一 个 或 多 个 参数 值 。 

(4) GetResponse 操作 : 返回 的 一 个 或 多 个 参数 值 。 这 个 操作 是 由 代理 进程 发 出 的 ， 
它 是 前 面 三 种 操作 的 响应 操作 。 

(5) Trap 操作 : 代理 进程 主动 发 出 的 报 文 ， 通 知 管理 进程 有 某 些 事情 发 生 。 

前 面 的 三 种 操作 是 由 管理 进程 向 代理 进程 发 出 的 ， 后 面 的 两 个 操作 是 代理 进程 发 给 
管理 进程 的 ， 为 了 简化 起 见 ， 前 面 三 个 操作 今后 叫做 Get、GetNext 和 Set 操作 。 

图 1-124 描述 了 SNMP 的 5 种 报 文 操作 。 请 注意 ， 在 代理 进程 端 是 用 熟知 端口 161 
来 接收 Get 或 Set 报 文 ， 而 在 管理 进程 端 是 用 熟知 端口 162 来 接收 Trap 报 文 。 


SNMP 管 理 程序 SNMP 代 理 程序 
GetRequest 
hs ea UDP 端口 161 
GetResponse 
GetNextR St 
jetNextReques | Upp 端 i161 
GetResponse 
SetRequest 
一 一 | UDP 端口 161 
GetResponse 
T 
UDP 端口 162 | 


图 1-124 SNMP 的 5 种 报 文 操作 


SNMP 管理 员 使 用 GetRequest 从 拥有 SNMP 代理 的 网 络 设 备 中 检索 信息 , SNMP 代 
理 以 GetResponse 消息 响应 GetRequest。 可 以 交换 的 信息 很 多 ， 如 系统 的 名 字 ， 系 统 自 
启动 后 正常 运行 的 时 间 ， 系 统 中 的 网 络 接口 数 等 等 。 

GetRequest 和 GetNextRequest 结合 起 来 使 用 可 以 获得 一 个 表 中 的 对 象 。GetRequest 
取 回 一 个 特定 对 象 ， 而 使 用 GetNextRequest 则 是 请 求 表 中 的 下 一 个 对 象 。 

使 用 SetRequest 可 以 对 一 个 设备 中 的 参数 进行 远程 配置 。SetRequest 可 以 设置 设备 
的 名 字 ， 关 掉 一 个 端口 或 清除 一 个 地 址 解析 表 中 的 项 。 

Trap 即 SNMP 陷阱 ， 是 SNMP 代理 发 送 给 管理 站 的 非 请 求 消息 。 这 些 消息 告知 管 
理 站 本 设备 发 生 了 一 个 特定 事件 ， 如 端口 失败 、 掉 电 重 启 等 , 管理 站 可 相应 的 作出 处 理 。 

2. SNMP 报 文 格式 

SNMP 报 文 共 有 三 个 部 分 组 成 ， 即 公共 SNMP 首部 、Get/Set 首部 、Trap 首部 、 变 
量 绑 定 。SNMP 报 文 格式 如 图 1-125 所 示 。 
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IP 数 据 包 | 
UDP 数 据 报 
bi SNMP 报 文 -| 
公共 SNMP 首部 Get Set 首 部 变量 绑 定 
ES: 太 
版 本 (0) | 共同 体 | RU 类 型 | 请求 标识 答 | 鲁 状 态 | 差错 索引 | 名 | 值 | 名 | 值 
PDU 类 型 | yj | 代理 的 | Trap 类 型 | 特定 . 
(4) 企业 IP 地 址 | (0~6) | 代码 时 间 可 | 名 | 值 | 名 | 值 
一 trap 首部 变量 绑 定 ~ 


图 1-125 SNMP 报 文 格式 


1) 公共 SNMP 首部 

公共 SNMP 共 三 个 字段 。 

。 版 本 : 写 入 版 本 字段 的 是 版 本 号 减 1， 对 于 SNMP〈 即 SNMPv1) 则 应 写 入 0。 

。 团体 : 团体 就 是 一 个 字符 串 ， 作 为 管理 进程 和 代理 进程 之 间 的 明文 口令 ， 常 用 的 
是 6 个 字符 public。 代 理 进程 允许 客户 进程 用 制度 团体 名 对 变量 进行 操作 ， 用 读 
写 团体 名 对 变量 进行 读 和 写 的 操作 。 

。 PDU 类 型 : 根据 PDU 的 类 型 ， 填 入 0 一 4 中 的 一 个 数字 ， 对 应 关系 如 表 1-18 


所 示 。 
表 1-18 PDU 类 型 
PDU 类 型 名 称 
0 GetRequest 
1 GetNextRequest 
2 GetResponse 
Ej SetRequest 
4 Trap 


2) Get/Set 首部 
请 求 标识 符 (request ID): 这 是 由 管理 进程 设置 的 一 个 整数 值 。 代 理 进程 在 发 送 
GetResponse 报 文 时 也 要 返回 此 请 求 标识 符 。 管 理 进程 可 同时 向 许多 代理 发 出 Get 报 文 ， 
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这 些 报 文 都 使 用 UDP 传送 ， 先 发 送 的 有 可 能 后 到 达 。 请 求 标 识 符 的 作用 在 于 其 使 得 管 
理 进程 能 够 识别 返回 的 响应 报 文 对 于 哪 一 个 请 求 报 文 。 

差错 状态 (error status): 由 代理 进程 回答 时 填 入 0 一 5 中 的 一 个 数字 。 

差错 索引 (error index): 当 出 现 noSuchName、badValue 或 readOnly 的 差错 时 ， 由 
代理 进程 在 回答 时 设置 的 一 个 整数 ， 它 指明 有 差错 的 变量 在 变量 列表 中 的 偏 移 。 

3) Trap 首部 

企业 〈enterprise): 填 入 Trap 报 文 的 网 络 设备 的 对 象 标识 符 。 

Trap 类 型 : 此 字段 正式 的 名 称 是 generic-Trap， 共 分 为 表 1-19 中 的 7 种。 


表 1-19 ”Trap 类 型 字段 


说 明 

代理 进行 了 初始 化 

代理 进行 了 重新 初始 化 

一 个 接口 从 工作 状态 变 为 故障 状态 

一 个 接口 从 故障 状态 变 为 工作 状态 

从 SNMP 管理 进程 接收 到 具有 一 个 无 效 团体 的 报 文 
一 个 EGP 相 邻 路 由 器 变 为 故障 状态 


代理 自 定 义 的 事件 ， 需 要 用 后 面 的 “特定 代码 ”来 指明 


特定 代码 〈specific-code): 指明 代理 自 定 义 的 时 间 〈 若 Trap 类 型 为 6)， 否 则 为 0。 

时 间 惟 (timestamp): 指明 自 代 理 进程 初始 化 到 Trap 报告 的 事件 发 生 所 经 历 的 时 间 ， 

单位 为 10ms。 例 如 时 间 戳 为 1908 表明 在 代理 初始 化 后 1908ms 发 生 了 该 时 间 。 
4) 变量 绑 定 
在 SNMP 中 ， 可 以 将 多 个 同类 操作 (Get、Set、Trap〉 放 在 一 个 消息 中 。 如 果 管 理 
站 希望 得 到 一 个 代理 处 的 一 组 标量 对 象 的 值 ， 它 可 以 发 送 一 个 消息 请 求 所 有 的 值 ， 并 通 
过 获取 一 个 应 答 得 到 所 有 的 值 。 这 样 可 以 大 大 减少 网 络 管理 的 通信 负担 。 

为 了 实现 多 对 象 交换 ， 所 有 的 SNMP 的 PDU 都 包含 了 一 个 变量 绑 定 字段 。 这 个 字 
段 由 对 象 实例 的 一 个 参考 序列 及 这 些 对 象 的 值 构成 。 某 些 PDU 只 需 给 出 对 象 实例 的 名 
字 ， 如 Get 操作 。 对 于 这 样 的 PDU， 接 收 协议 实体 将 忽略 变量 绑 定 字段 中 的 值 。 

3. SNMPv2 

SNMPv2 的 改进 主要 有 以 下 三 个 方面 : 

。 增加 了 manager 和 manager 之 间 的 信息 交换 机 制 ， 从 而 支持 分 布 式 管理 结构 。 由 
中 间 (intermediate〉manager 来 分 担 主 manager 的 任务 ， 增 加 了 远 地 站 点 的 局 部 
自主 性 。 

。 改进 了 管理 信息 结构 ， 例 如 提供 了 一 次 取 回 大 量 数据 的 能 力 ， 效 率 大 大 提高 。 

。 增强 了 管理 信息 通信 协议 的 能 力 。 可 在 多 种 网 络 协 议 上 运行 ， 如 OSI、Appletalk 
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和 IPX 等 ， 适 用 多 协议 网 络 环境 (默认 网 络 协议 是 UDP)。 
SNMPv2 SMI 是 对 SNMPv1 SMI 的 改进 ，SMIV2 为 被 管理 对 象 和 MIB 提供 了 更 详 
尽 的 规范 和 文档 。 主 要 由 对 象 定义 、 模 块 定义 、 通 知 定义 和 概念 表 组 成 。 
1) 对 象 定义 
SNMPv2 的 OBJECT-TYPE 增加 了 新 的 内 容 。 图 1-126 (a) 和 图 1-126 (b) 分 别 给 
出 了 OBJECT-TYPE 宏 在 SMIv1 和 SMIv2 中 的 框架 , 其 全 文 定义 可 以 分 别 查 阅 RFC1212 
与 RFC2578。 


(a) SMIvl 中 OBJECT-TYPE 宏 的 框架 (b) SMIV2 中 OBJECT-TYPE 宏 的 框架 


1-126 OBJECTTYPE 宏 在 SMIv1 和 SMIV2 中 的 框架 


2) 模块 定义 
SMIv2 包含 三 种 信息 模块 。 
。 MIB 模块 :包含 一 组 有 关 的 管理 对 象 的 定义 .MIB 模块 用 到 了 OBJECTIDENTITY 
宏和 MODULE-IDENTITY 宏 。 
。 MIB 一 致 性 声明 模块 : 使 用 OBJECT-GROUP、NOTIFICATION-GROUP 和 
MODULE-COMPLIANCE 宏 说 明 有 关 管 理 对 象 实现 方面 的 最 小 要 求 。 
。 代理 能 力 说 明 模块 :用 AGENTCAPABILITIES 宏 说 明代 理 实体 应 该 实现 的 能 力 。 
3) 通知 定义 
SNMPv2 提供 了 通知 类 型 的 宏 定 义 NOTIFICATION-TYPE， 用 于 定义 异常 条 件 出 现 
时 SNMPv2 实体 发 送 的 信息 。 任 选 的 OBJECT 子 句 定义 了 包含 通知 实例 中 MIB 对 象 序 
列 。 下 面 就 分 别 给 出 NOTIFICATION-TYPE 宏 定 义 的 框架 。 


NOTIFICATION-TYPE MACRO : := 
BEGIN 
TYPE NOTATION ::= 
ObjectsPart 
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"STATUS" Status 

"DESCRIPTION" Text 

ReferPart 
VALUE NOTATION : := 

value (VALUE NotificationName) 
ObjectsPart : := 

OBIECTS” = GODbjeeEs ol empty 


Objects ::= 
Object| Objects "," Object 
Object ::= 
value (ObjectName) 
Status ::= 
"current"| "deprecated"| "obsolete" 
ReferPpart sss 
"REFERENCE" Text| empty 
Text ::= value (IAS5String) 
END 


其 中 ，ObjectsPart 是 可 选项 子 句 ,定义 每 个 通告 实例 所 包含 的 MIB 对 象 排序 后 的 顺 
序 ， 这 些 对 象 的 取 值 存放 在 PDU 的 variable-bindings 中 传送 到 管理 站 。 一 般 用 于 向 管理 
站 提供 具体 的 警报 相关 数据 和 信息 。ReferPart 也 是 可 选项 子 句 ， 用 来 描述 参考 信息 。 

4) 概念 表 

SNMPv2 的 管理 操作 只 能 作用 于 标量 对 象 ,复杂 的 信息 要 用 表 来 表示 .按照 SNMPv2 
规范 ， 表 是 行 的 序列 ， 而 行 是 列 对 象 的 序列 。SNMPv2 把 表 分 为 以 下 两 类 。 

。 禁止 删除 和 生成 行 的 表 : 这 种 表 的 最 高 访问 级 别 是 read-write。 在 很 多 情况 下 这 种 

表 由 代理 控制 ， 表 中 只 包含 read-only 型 的 对 象 。 
。 允许 删除 和 生成 行 的 表 : 这 种 表 开 始 时 可 能 没有 行 ， 有 管理 站 生成 和 删除 行 。 行 
数 可 由 管理 站 或 代理 改变 。 

在 SNMPv2 表 的 定义 中 必须 含有 INDEX 或 AUGMENTS 子 句 ， 但 是 只 能 有 一 个 。 
AUGMENTS 子 句 的 作用 是 表示 概念 行 的 扩展 。 AUGMENTS 子 句 的 引入 实质 是 在 已 定 
义 的 表 对 象 的 基础 上 通过 增加 列 对 象 来 定义 新 表 , 这 样 就 不 需要 重新 建立 已 有 的 行 定义 。 

5) SNMPv2 报 文 格式 

在 SNMPv2 消息 中 可 以 传送 7 类 PDU。 图 1-127 描述 了 SNMPv2 PDU 的 格式 。 

值得 注意 的 是 ，GetRequest、GetNextRequest、SetRequest、SNMPv2-Trap、Inform- 
Request 5 种 PDU 具有 完全 相同 的 格式 ， 并 且 也 可 以 看 作 是 error-status 和 error-index 两 
个 字段 被 置 0 的 Response PDU 的 格式 。 这 样 设计 的 目的 是 为 了 减少 SNMPv2 实体 需要 
处 理 的 PDU 格式 种 类 。 
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SetRequest-PDU、SNMPv2-Trap-PDU 、InformRequest-PDU 


了 PDU 类 型 | 请 求 标识 符 | 差错 状态 | 差错 索引 | 名 | 值 | 名 | 值 


(b) Response-PDU 变量 绑 定 


(c) GetBulkRequest-PDU = 


1-127 SNMPv2 PDU 格式 


PDU 类 型 请 求 标识 符 


4. SNMPv3 
1999 年 4 月 发 布 的 SNMPv3 新 标准 , 包含 了 全 面 的 安全 性 技术 。SNMPv3 定义 了 一 
种 框架 , 用 来 把 安全 性 整合 到 SNMPv1 或 SNMPv2 的 整体 功能 中 。SNMPv3 只 是 一 个 安 
全 规范 ， 没 有 定义 其 他 新 的 SNMP 功能 ， 只 为 SNMPv1 和 SNMPv2 提供 安全 方面 的 
功能 。 
RFC2271 定义 的 SNMPv3 体系 结构 , 体现 了 模块 化 的 设计 思想 , 可 以 简单 地 实现 功 
能 的 增加 和 修改 。 其 特点 如 下 。 
。 适应 性 强 : 适用 于 多 种 操作 环境 ， 既 可 以 管理 最 简单 的 网 络 ， 实 现 基 本 的 管理 功 
能 ， 又 能 够 提供 强大 的 网 络 管理 功能 ， 满 足 复杂 网 络 的 管理 需求 。 
。 扩充 性 好 : 可 以 根据 需要 增加 模块 。 
。 安全 性 好 : 具有 多 种 安全 处 理 模块 。 
在 实现 方面 ， 对 SNMP 的 体系 结构 会 有 以 下 不 同 的 要 求 : 
。 具有 命令 应 答 者 和 /或 通报 生成 者 应 用 的 实体 (最 小 的 SNMP )。 
具有 代 管 转发 者 应 用 的 SNMP 实体 。 
具有 命令 产生 者 和 /或 通报 接收 者 应 用 的 命令 行 驱动 的 SNMP 实体 。 
。 具有 命令 生成 者 和 /或 通报 接收 者 应 用 ， 并 具有 命令 应 答 和 /或 通报 产生 者 应 用 的 
SNMP 实体 (以 往 称 为 SNMP 中 间 层 管理 者 或 双重 角色 实体 )。 
。 具有 命令 生成 者 和 /或 通报 接收 者 , 及 为 管理 潜在 的 非常 大 量 的 被 管 节点 可 能 的 其 
他 应 用 的 SNMP 实体 (以 往 称 为 网 络 管理 站 )。 
为 了 能 够 统一 满足 以 上 要 求 ，SNMPv3 定义 了 一 个 可 进化 的 体系 结构 框架 。 具 体 细 
节 请 参考 相关 书籍 。 
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5. RMON 

远程 网 络 监 视 (Remote network MONitoring, RMON) 是 对 SNMP 标准 的 重要 补充 ， 
是 简单 网 络 管理 向 互联 网 管理 过 渡 的 重要 步骤 。RMON 扩充 了 SNMP 的 管理 信息 库 
MIB-2， 可 以 提供 有 关 互 联网 管理 的 重要 信息 ， 在 不 改变 SNMP 协议 的 条 件 下 增强 了 网 
络 管理 的 功能 。 从 某 种 意义 上 说 ，RMON 的 定义 为 网 络 的 分 布 式 管理 提供 了 实现 的 可 
能 性 。 

IETF 于 1991 年 11 月 公布 的 RFC1271 定义 了 RMON MIB, 对 SNMP 轮 询 的 弊端 进 
行 了 弥补 ， 扩 充 了 管理 信息 库 MIB-2， 在 不 改变 SNMP 协议 的 条 件 下 增强 了 网 络 管理 的 
功能 ， 进 一 步 解决 了 SNMP 在 日 益 扩大 的 分 布 式 网 络 中 所 面临 的 局 限 性 。 

RMON 规范 主要 是 给 出 RMON 管理 信息 库 的 定义 。RMON MIB 由 一 组 统计 数据 、 
分 析 数 据 和 诊断 数据 构成 ，RMON MIB 的 功能 是 对 通过 收集 “RMON MIB 功能 组 ”的 
信息 进行 管理 。 最 早 的 RMON 管理 信息 库 ， 即 RMON1， 主 要 包括 以 太 网 的 各 种 统计 数 
据 ， 共 有 9 个 功能 组 ， 后 来 又 扩展 到 其 他 网 络 类 型 ， 在 RFC1513-1993 中 加 入 了 令 牌 环 
网 统计 信息 。 虽然 RMON1 为 远程 监视 提供 了 一 个 行 之 有 效 的 手段 , 但 它 只 能 存储 MAC 

(media access control) 层 管理 信息 。 从 1994 年 开始 对 RMON MIB 进行 了 扩充 ,使 得 能 
够 监视 MAC 层 之 上 3 一 7 层 的 通信 , 这 就 是 后 来 rmon(mib-2 16) 
的 RMON2。 目 前 的 RMON 管理 信息 结构 包含 


statistics (1) 


20 个 功能 组 ， 如 图 1-128 所 示 。 history(?) 
6，SNMP 应 用 EE 
在 网 络 管理 系统 中 ,需要 了 解 网 络 资源 的 状 。 ”RMoN! hostTopN(GS) 
况 ， 对 它 进行 监视 和 控制 。 考 虑 到 应 用 的 实时 性 | 一 warixg 
以 及 系统 的 开销 ， 需 要 直接 通过 底层 网 络 协议 来 于 
实现 。 而 SNMP 正 是 采用 面向 无 连接 的 用 户 数据 aa 
报 UDP/IP 来 实现 其 功能 ， 实 体 间 的 通信 无 须 先 RMONI 扩 展 | tokenRing(10) 


建立 连接 ， 降 低 了 系统 开销 ， 并 且 现 在 的 网 络 设 | 人 


备 一 般 都 支持 SNMP， 具 有 SNMP 的 代理 , 这 使 到 ne 
得 SNMP 的 实现 成 为 可 能 。SNMP 在 网 络 管理 系 nlHost(14) 
统 中 主要 应 用 如 下 : RGN | 一 miMatrix(15) 
(1) 访问 MIB 库 的 变量 并 给 出 相应 变量 的 [EE 
描述 。 usrHistory(18) 
(2) 通过 访问 SNMP MIB 可 以 获得 网 络 性 | probeConfig(19) 
能 的 有 关 数 据 ， 对 网 络 的 性 能 和 吞吐 量 分 析 。 monConformance(20) 
(3) 监测 中 心 对 监测 设备 进行 查询 来 获得 1-128 RMON MIB 


有 关 网 络 状态 的 信息 ， 对 网 络 性 能 进行 动态 分 析 ， 并 进行 设备 监控 ,用 于 以 后 的 评估 和 
分 析 。 
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(4) 在 SNMP 服务 器 上 进行 警告 配置 ， 网 络 中 任何 支持 SNMP-Trap 协议 的 SNMP 
设备 都 能 收 到 警告 。SNMP 是 通过 客户 /服务 器 的 方式 来 实现 的 。 网 络 管理 员 在 本 地 计算 
机 上 调用 SNMP 客户 机 ， 利 用 客户 机 与 1 个 或 多 个 运行 在 远程 计算 机 上 的 SNMP 服务 
器 取得 联系 ， 从 而 实现 故障 管理 功能 。 

下 面 将 给 出 一 个 SNMP 在 网 络 管理 中 的 应 用 例子 ， 例 子 中 用 到 了 Netsnmp 软件 。 
Netsnmp 是 目前 网 络 主机 上 使 用 比较 多 的 SNMP 软件 之 一 ， 可 以 在 许多 镜像 网 点 下 载 。 
它 作为 网 络 管理 应 用 软件 ， 可 通过 SNMP 协议 中 的 命令 ， 调 用 设备 MIB 库 的 对 象 标识 
符 OID 串 ， 编 写 脚本 集中 提取 设备 的 参数 值 ， 如 CPU 利用 率 、 内 存 利 用 率 、 进 程 状态 、 
时 延 、 端 口 流量 、 性 能 参数 等 。 

安装 完成 Netsnmp 后 ， 启 动 主 机 的 snmpd 进程 ， 它 成 为 一 个 带 有 管理 器 的 SNMP 
实体 了 。 

例 : 实时 监测 网 络 时 延 。 

以 Cisco 设备 为 例 ， 如 图 1-129 所 示 ， 通 过 192.168.1.4 这 台 主 机 对 Cisco 路 由 器 
192.168.1.1 进行 监控 ， 实 时 监测 其 网 络 时 延 。 


SNMP 
manager 


192.168.1.4 


ET 


一 


< echo -7 RouterB 
eb np 192.168.1.2 


图 1-129 网络 结构 


在 Cisco 路 由 器 上 ， 配 置 snmp server 和 人 允许 访问 列表 ， 使 其 接受 snmp manager 的 
管理 。 


1 

snmp-server engineID local 00000009020000089A9E47FF 
snmp-server community<8bits 字符 串 命 名 >RW81 
snmp-server community<8bits 字符 串 命 名 >RO81 
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Snmp-SerVer enable traps 
snmp-server host 192.168.1. 4< 上 述 被 命名 的 8bits 字符 串 之 一 >snmp 
snmp-server trap-source loopback 0 


access-list 81 permit 192.168.1.4 
1 


在 管理 站 (192.168.1.4) 上 通过 snmp 协议 对 被 管 的 路 由 器 (192.168.1.1) 的 变量 进 


行 设置 ， 得 到 路 由 器 A (192.168.1.1) 到 路 由 器 B (192.168.1.2) remote ping 的 时 延 。 管 
理 站 通过 snmp 命令 的 改变 (snmpset)， 设 置 路 由 器 A 到 路 由 器 B 的 扩展 ping 变量 ， 包 
括 包 数 、 包 大 小 、 超 时 时 间 等 等 ， 通 过 SNMP 的 检查 (snmpwalk)， 得 到 返回 的 时 延 
结果 。 


snmpset -V 1 -c private 192.168.1.1 Sk Re Ph hh Pe 
331 integer 6 (破坏 上 次 设置 ) 

snmpset -V 1 -c private 192.168.1.1 bp 0 TP Ph FR EY. PE Wh PN 
331 integer 5 (重新 创建 ) 

snmpset -V 1 -c private 192.168.1.1 by 
331 s "GSR12012" (设置 CiscoPingEntryOwner) 

snmpset -~v 1 -c private 192.168.1.1 pb ek hE Pp 0 Ps PR i 

331 integer 1 (设置 协议 为 IP) 

snmpset -V 1 -c private 192.168.1.1 了 

331 x "C0 A8 1 2" (设置 目的 地 192.168.1.2) 

snmpset -~v 1 -c private 192.168.1.1 了 和 

331 integer 1000 (设置 超时 ) 

snmpset -V 1 -c private 192.168.1.1 全 下 全 人 

331 integer 10 (设置 包 数 ) 

snmpset -V 1 -c private 192.168.1.1 人 

331 integer 111 (设置 包 大 小 ) 

snmpset -V 1 -c private 192.168.1.1 下 人 
331 integer 1 (激活 开始 执行 命令 动作 ) 

snmpwalk -V 1 -c private 192.168.1.1 人 人 
331 (得 到 返回 时 延 为 Ims) 

SNMPV2-SMI::enterprises.9.9.16.1.1.1.12.331 = INTEGER:1 


编写 脚本 ,就 可 以 实现 192.168.1.4 这 台 主 机 对 Cisco 路 由 器 192.168.1.1 的 远程 监控 。 


1.9.4 网 络 管理 工具 


1.9.4.1 基于 Web 的 管理 


Pea 


传统 的 网 络 管理 界面 是 通过 网 络 管理 命令 驱动 的 远程 登录 屏幕 ， 必 须 由 专业 网 络 管 


工作 人 员 操 作 ， 使 用 和 维护 网 络 管理 系统 也 需要 专门 培训 的 技术 人 员 ， 网 络 功能 复杂 
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化 ， 使 传统 网 络 管理 界面 的 友好 程度 愈 来 愈 差 。 为 了 减轻 网 络 管理 复杂 性 ， 降 低 网 络 管 

理 费 用 ， 急 需 研究 和 开发 一 种 跨 平台 、 方 便 、 适 用 的 新 的 网 络 管理 模式 ， 基 于 Web 的 网 

络 管理 模式 可 以 实现 这 个 目标 。 这 种 新 的 网 络 管理 模式 融合 了 Web 技术 、Java 技术 和 网 

络 管理 技术 ， 它 允许 网 络 管理 人 员 通 过 与 万 维 网 同样 的 形式 去 监测 、 管 理 他 们 的 网 络 系 

统 ， 并 使 用 Web 浏览 器 在 网 络 任何 节点 上 方便 迅速 地 配置 、 控 制 及 访问 网 络 和 它 的 各 个 

部 分 ， 这 种 新 的 网 络 管理 模式 的 魅力 在 于 它 是 交叉 平台 ， 可 以 很 好 解决 很 多 由 于 多 平台 

结构 产生 的 互 操作 问题 ， 提 供 比 传统 网 络 管理 更 直接 、 更 易于 使 用 的 图 形 界面 ， 从 而 降 

低 了 对 网 络 管理 操作 和 维护 人 员 的 特别 要 求 。 

1. WBM 与 传统 网 络 管理 平台 的 比较 
随 着 Intranet 的 流行 和 发 展 ， 其 本 身 的 结构 也 变 得 越 来 越 复 杂 ， 这 大 大 增加 了 网 络 

管理 的 工作 量 ， 也 给 网 络 管理 员 真 正 管理 好 Intranet 带 来 了 很 大 的 困难 。 传 统 的 网 络 管 

理 方式 已 经 不 适应 当前 网 络 发 展 的 趋势 。 作 为 一 种 全 新 的 网 络 管理 模式 , 基于 Web 的 网 

络 管理 模式 (Web-Based Management, WBM) 可 以 允许 网 络 管理 人 员 使 用 任何 一 种 Web 

浏览 器 , 在 网 络 任何 节点 上 方便 迅速 地 配置 、 控 制 以 及 存 取 网 络 和 它 的 各 个 部 分 。WBM 

从 出 现 伊始 就 表现 出 强大 的 生命 力 ， 它 以 其 特有 的 灵活 性 、 易 操作 性 等 特点 赢得 了 许多 

技术 专家 和 用 户 的 青睐 。 

(1) 传统 的 管理 者 -代理 集中 管理 模式 存在 以 下 缺陷 。 
。 由 一 个 网 管 站 (NMS ) 来 负责 收集 分 析 所 有 被 管 资源 的 状态 信息 并 进行 相应 管理 ， 
造成 网 管 站 工作 负担 过 重 ， 这 没有 充分 发 挥 网 络 的 分 布 计算 资源 优势 。 
。 所 有 的 网 络 管理 数据 都 必须 传送 给 网 管 站 分 析 处 理 ， 这 样 易 在 管理 者 端 形成 通信 
瓶颈 。 

当 网 络 出 现 连接 故障 时 ， 造 成 全 网 或 局 部 失控 。 

由 于 系统 规模 和 应 用 越 来 越 复杂 ， 加 上 用 户 需求 的 改变 ， 现 行 的 网 络 管理 平台 不 

易 扩 展 升级 。 

。 由 于 网 络 采 用 不 同 厂商 的 网 络 设备 、 协 议 、 操 作 系 统 及 数据 库 ， 网 管 人 员 不 得 不 
分 别 借助 各 种 孤立 的 管理 工具 来 监视 和 控制 网 络 的 运行 以 及 管理 各 种 信息 服务 。 
这 给 网 管 人 员 带 来 了 额外 负担 ， 给 有 效 地 管理 好 网 络 带 来 很 大 的 困难 。 
目前 网 络 管理 的 重心 仍然 放 在 管理 网 络 的 硬件 设备 上 ,缺乏 真正 有 效 的 包括 各 种 
应 用 服务 的 集成 网 络 管理 。 以 前 网 络 设备 由 于 其 处 理 能 力 和 资源 的 缺乏 ， 只 能 在 
其 上 运行 一 个 简单 的 SNMP 代理 , 而 现在 的 网 络 设备 含有 更 强 的 处 理 器 和 更 多 的 
内 存 ， 因 此 具有 管理 自身 的 能 力 。 目 前 对 SNMP 有 了 一 些 改进 措施 ， 如 采用 MIB 
元 变量 、RMON、Agent X 等 方法 。 

(2) 基于 Web 的 网 络 管理 具有 以 下 优点 。 

。 地 理 上 和 系统 上 的 可 移动 性 。 基 于 Web 网 络 管理 的 可 移动 性 使 管理 员 使 用 任何 一 
个 Web 浏览 器 从 Intranet 的 任意 一 台 网 络 工作 站 都 可 以 监测 和 控制 内 部 网 络 。 对 
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于 网 络 管理 系统 的 提供 者 来 说 ， 在 一 个 平台 上 实现 的 管理 系统 可 以 从 任何 一 台 安 
装 有 Web 浏览 器 的 计算 机 上 访问 , 不 管 这 台 计 算 机 是 服务 器 还 是 专用 工作 站 , 或 
是 普通 PC， 操作 系统 的 类 型 也 不 受 限 制 。 
。 具有 统一 的 网 络 管理 程序 界面 。 网 络 管理 员 不 必 像 以 往 那样 学 习 和 运用 不 同 厂 商 
的 网 络 管理 系统 程序 的 操作 界面 , 而 是 通过 简单 且 非 常熟 悉 的 Web 浏览 器 进行 操 
作 ， 完 成 网 络 管理 的 各 项 任务 。 
。 网 络 管理 平台 具有 独立 性 。WBM 的 应 用 程序 可 以 在 各 种 环境 下 使 用 ， 包 括 不 
的 操作 系统 ， 体 系 结构 和 网 络 协议 ， 无 须 进行 系统 移植 。 
。 网 络 管理 系统 之 间 可 无 缝 连接。 网 络 管理 员 可 以 通过 浏览 器 在 不 同 的 管理 系统 之 
间 进 行 切换 ， 比 如 在 厂商 甲 开发 的 网 络 性 能 管理 系统 和 厂商 乙 开发 的 网 络 故障 管 
理 系统 之 间 进 行 切换 ， 使 得 两 个 系统 能 够 平滑 地 相互 结合 ， 组 成 一 个 整体 。 
在 网 络 管理 领域 ， 包 括 BM/Tivoli、Sun、HP 和 Cisco 等 公司 在 内 的 网 络 管理 系统 
软件 供应 商都 竞相 推出 融合 了 Web 技术 的 管理 平台 。 
2. WBM 的 实现 方式 
网 络 管理 Web 化 的 基本 实现 方案 有 两 种 。 一 种 是 基于 代理 的 解决 方案 ， 另 一 种 是 舱 
入 式 解决 方案 。 
1) 基于 代理 的 解决 方案 
基于 代理 的 WBM 方案 是 在 网 络 管理 平台 之 上 释 加 一 个 Web 服务 器 , 使 其 成 为 浏览 
器 用 户 的 网 络 管理 的 代理 者 , 网 络 管理 平台 通过 SNMP 或 CMIP 与 被 管 设备 通信 , 收集 、 
过 滤 、 处 理 各 种 管理 信息 ， 维 护 网 络 管理 平台 数据 库 。WBM 应 用 通过 平台 网 络 管理 平 
台 提 供 的 API 接口 获取 网 络 管理 信息 ， 维 护 WBM 专用 数据 库 。 管 理 人 员 通 过 浏览 器 向 
Web 服务 器 发 送 HITP 请 求 来 实现 对 网 络 的 监视 、 调 整 和 控制 ，Web 服务 器 通过 CGI 
调用 相应 的 WBM 应 用 ，WBM 应 用 把 管理 信息 转换 为 HIML 形式 返还 给 Web 服务 器 ， 
由 Web 服务 器 响应 浏览 器 的 HITP 请 求 。 基 于 代理 的 解决 方案 如 图 1-130 所 示 。 


可 


>》 代理 网 络 设备 一 


图 1-130 基于 代理 的 解决 方案 
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基于 代理 的 WBM 方案 在 保留 了 现存 的 网 络 管理 系统 的 特征 的 基础 上 ， 提 供 了 操作 
网 络 管理 系统 的 灵活 性 。 代 理 者 能 与 所 有 被 管 设备 通信 ，Web 用 户 也 就 可 以 通过 代理 者 
实现 对 所 有 被 管 设备 的 访问 。 代 理 者 与 被 管 设备 之 间 的 通信 沿用 SNMP 和 CMIP， 因 此 
可 以 利用 传统 的 网 络 管理 设备 实现 这 种 方案 。 

2) 嵌入 式 WBM 解决 方案 

嵌入 式 WBM 方案 是 将 Web 能 力 嵌 入 到 被 管 设 备 之 中 。 每 个 设备 都 有 自己 的 Web 
地 址 ， 使 得 管理 人 员 可 以 通过 浏览 器 和 HTTP 协议 直接 进行 访问 和 管理 。 代 理 的 解决 方 
案 继 承 了 当今 传统 的 基于 工作 站 的 管理 系统 和 产品 的 所 有 优点 ， 此 外 它 还 具有 访问 灵活 
的 特点 。 因 为 代理 服务 器 和 所 有 的 网 络 终端 设备 通信 仍然 通过 SNMP 协议 ， 因 而 这 种 解 
决 方法 可 以 和 只 支持 SNMP 协议 的 设备 协同 工作 。 从 另 一 方面 来 看 ， 内 骨 服 务 器 的 方法 
带 来 了 单独 设备 的 图 形 化 管理 。 它 提供 了 比 命令 行 和 基于 菜单 的 Telnet 接口 更 简单 易 用 
的 接口 ， 能 够 在 不 牺牲 功能 的 前 提 下 简化 操作 。 奶 入 式 WBM 方案 如 图 1-131 所 示 。 


具有 谋 入 式 Web 服务 器 的 网 络 设备 


图 1-131 赃 入 式 WBM 解决 方案 


嵌入 式 方案 给 各 个 被 管 设备 带 来 了 图 形 化 的 管理 ， 提 供 了 简单 的 管理 接口 。 网 络 管 
理 系统 完全 采用 Web 技术 ， 如 通信 协议 采用 HTTP 协议 ， 管 理 信息 库 利 用 HTML 语言 
描述 ， 网 络 的 拓扑 算法 采用 高 效 的 Web 搜索 、 查 询 点 索引 技术 ， 网 络 管理 层次 和 域 的 组 
织 采用 灵活 的 虚拟 形式 ， 不 再 受 限 于 地 理 位 置 等 因素 。 

在 今后 的 企业 网 络 中 , 基于 代理 服务 器 和 内 嵌 Web 服务 器 的 方案 肯定 会 更 广泛 被 用 
来 管理 网 络 ， 大 型 的 企业 将 继续 需要 使 用 基于 代理 服务 器 的 管理 方案 实现 对 整个 企业 网 
络 的 监控 和 管理 ， 而 内 霸 式 Web 服务 器 的 管理 方式 由 于 提供 了 高 度 改 良 的 接口 ， 因 而 使 
企业 网 络 安装 和 管理 新 设备 时 更 加 方便 。 

内 媒 Web 服务 器 的 方式 对 于 小 型 办 公 室 网 络 来 说 是 理想 的 管理 方式 。 小 型 办 公 室 网 
络 相对 来 说 比较 简单 ， 也 不 需要 强大 的 管理 系统 和 整个 企业 的 网 络 视图 。 由 于 小 型 办 公 
室 网 络 经 常 缺 乏 网 络 管理 和 设备 控制 人 员 , 而 内 嵌 Web 服务 器 的 管理 方式 就 把 用 户 从 复 
杂 的 管理 中 解脱 出 来 。 另外， 基于 Web 的 设备 实现 了 真正 的 即 插 即 用 ,减少 了 安装 时 间 
和 故障 排除 时 间 。 
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实现 WBM 的 技术 有 多 种 ,最 常用 的 是 描述 WWW 页 面 超 文本 标记 语言 一 一 HTML。 
HTML 可 以 构建 页 面 的 显示 和 播放 信息 ， 并 可 以 提供 对 其 他 页 面 的 超级 链接 ， 图 形 和 动 
态 元 素 ( 如 Java Applet) 也 可 以 嵌入 到 HTML 页 面 中 。 因 此 用 HTML 页 面 提供 WBM 
的 用 户 信息 接口 是 很 理想 的 。 

另 一 项 在 WBM 中 应 用 的 技术 是 CGI, 它 提供 基于 Web 的 数据 库 访问 能 力 。 当 WBM 
应 用 程序 需要 访问 MIB 时 ， 可 以 利用 CGI 对 数据 库 进 行 查询 ， 并 格式 化 HIML 页 面 。 

对 WBM 来 说 ， 最 重要 的 技术 是 Java 语言 。 它 是 一 种 解释 性 程序 语言 ， 也 就 是 在 程 
序 运行 时 ， 代 码 才 被 处 理 器 程序 解释 。 解 释 性 语言 易于 移植 到 其 他 处 理 器 上 。Java 的 解 
释 器 是 一 个 被 称 为 Java 虚拟 机 《JVM) 的 设备 ， 它 可 以 应 用 于 千变万化 的 处 理 器 环境 之 
中 ， 而 且 可 以 被 绑 定 在 Web 浏览 器 上 ， 使 浏览 器 能 够 执行 Java 代码 。 

Java 提供 了 一 套 独立 而 完备 的 小 应 用 程序 Applet 专用 于 Web。 Applet 能 够 被 传送 到 
浏览 器 ， 并 且 在 浏览 器 的 本 地 机 上 运行 。Applet 具有 浏览 器 强制 安全 机 制 ， 可 以 对 本 地 
系统 资源 和 网 络 资源 的 访问 进行 安全 控制 。Java Applet 对 于 WBM 中 的 动态 数据 处 理 是 
一 种 有 效 的 技术 。 它 能 够 方便 地 显示 网 络 运行 的 画面 、 交 换 机 状态 面板 等 图 片 ， 也 能 实 
时 表示 从 轮 询 和 陷阱 得 到 的 更 新 信息 。Java 在 WBM 中 还 有 一 种 应 用 就 是 将 JVM 杠 入 
到 一 个 设备 之 中 ， 该 设备 就 可 以 执行 Java 代码 。 利 用 这 一 点 ， 可 以 将 应 用 程序 代码 在 工 
作 站 和 网 络 设备 之 间 动 态 地 传递 。 

3. WBM 的 安全 性 

WBM 中 的 安全 性 考虑 对 于 企业 网 络 的 安全 是 至 关 重 要 的 。 一 个 安全 的 网 络 需 要 有 
防火 墙 将 其 与 Intemet 隔离 开 , 以 保护 企业 内 部 网 络 的 资源 , 比如 防止 未 经 许可 的 对 Web 
服务 器 的 外 部 访问 。 另 外 ， 出 于 安全 考虑 ， 对 服务 器 的 访问 可 以 通过 口令 和 地 址 过 滤 来 
控制 。 从 某 种 角度 来 看 ，WBM 也 是 一 个 基于 服务 器 的 需要 保护 的 设备 。 由 于 WBM 控 
制 着 网 络 的 主要 资源 ， 因 而 只 有 Intranet 上 的 授权 用 户 才 能 访问 WBM 系统 。 基 于 Web 
的 设备 在 向 用 户 提供 易于 访问 的 特性 的 同时 ， 也 可 以 限制 用 户 的 访问 。 管 理 员 可 以 对 
Web 服务 器 加 以 设置 以 使 用 户 必 须 用 口令 来 登录 。WBM 方式 并 不 和 业已 存在 的 安全 性 
方式 相 冲 突 ， 如 已 经 在 Windows 和 UNIX 操作 系统 中 应 用 的 目录 结构 、 文 件 名 结构 等 。 
另外 管理 员 还 可 以 很 方便 地 使 用 复杂 的 鉴定 技术 来 加 强 WBM 系统 的 安全 。 

网 络 管理 人 员 的 操作 数据 是 非常 敏感 的 ， 如 果 在 浏览 器 到 服务 器 之 间 的 传输 过 程 中 
被 侦 听 或 算 改 ， 会 造成 严重 的 安全 问题 。 因 此 这 些 数据 在 传输 过 程 中 通常 需要 加 密 。 这 
个 需求 利用 现 有 的 技术 是 可 以 满足 的 , 因为 基于 Web 的 电子 商务 同样 需要 数据 传输 的 安 
全 ， 这 种 技术 已 经 得 到 了 大 力 开发 ， 并 取得 了 成 功 。 

此 外 ，Java Applet 的 安全 问题 对 WBM 也 很 重要 。 因 为 Java Applet 将 字符 串 和 数据 
暴露 在 光天化日 之 下 ， 因 此 存在 着 被 算 改 的 危险 。 尽 管 Java Applet 具有 一 些 安全 保障 ， 
如 被 规定 不 能 写 盘 、 破 坏 系统 内 存 或 生成 至 非法 站 点 的 超级 连接 。 但 仍 需要 对 代码 进行 
保护 ， 以 保证 收 到 的 Applet 与 原 有 代码 完全 相同 。 目 前 这 项 技术 已 基本 成 熟 。 
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为 了 降低 网 络 管理 的 复杂 性 、 减 少 网 络 管理 的 成 本 ，WBM 管理 的 开放 式 标准 必 不 
可 少 。 有 两 个 WBM 的 标准 目前 正在 考虑 之 中 : 一 个 是 WBEM (Web-Based Enterprise 
Management) 标准 ， 另 一 个 是 JMAPI ( Java-Management Application Program Interface) 
标准 ， 现 在 发 展 成 JMX (Java Management Extension ) 。 


1.9.4.2 ”典型 网 络 管理 工具 


网 络 管理 系统 提供 了 一 组 进行 网 络 管理 的 工具 ， 网 络 管理 员 对 网 络 的 管理 水 平 在 很 
大 程度 上 依赖 于 这 组 工具 的 能 力 。 网 络 管理 软件 可 以 位 于 主机 中 ， 也 可 以 位 于 传输 设备 
内 《如 交换 机 、 路 由 器 、 防 火 墙 等 )。 网 络 管理 系统 应 具备 OSI 网 络 管理 标准 中 定义 的 
网 络 管理 五 大 功能 ， 并 提供 图 形 化 的 用 户 界面 。 

针对 网 络 管理 的 需求 ， 许 多 厂商 开发 了 自己 的 网 络 管理 产品 ， 并 有 一 些 产品 形成 了 
一 定 的 规模 ， 占 有 了 大 部 分 的 市 场 。 它 们 采用 了 标准 的 网 络 管理 协议 ， 提 供 了 通用 的 解 
决 方案 ， 形 成 了 一 个 网 络 管理 系统 平台 ， 网 络 设备 生产 厂商 在 这 些 平台 的 基础 上 又 提供 
了 各 种 管理 工具 。 下 面 我 们 将 简单 介绍 一 些 具有 较 高 性 能 和 市 场 占有 率 的 典型 网 络 管理 
工具 。 

1. CiscoWorks for Windows 

CiscoWorks for Windows 是 一 个 全 面 的 基于 Web 的 网 络 管理 解决 方案 ， 它 主要 应 用 
于 中 小 型 的 企业 网 络 。 它 提供 了 一 套 功 能 强大 、 价 格 低廉 且 易 于 使 用 的 监控 和 配置 工具 ， 
用 于 管理 Cisco 的 交换 机 、 路 由 器 、 集 线 器 、 防 火 墙 和 访问 服务 器 等 设备 。 使 用 Ipswitch 
公司 的 WhatsUp Gold 工具 还 可 管理 网 络 打印 机 、 工 作 站 、 服 务 器 和 其 他 重要 的 网 络 
设备 。 

CiscoWorks for Windows 中 包含 以 下 组 件 : 

1) CiscoView 

CiscoView 提供 图 形 化 的 前 后 面板 的 视图 ， 能够 以 各 种 颜色 动态 地 显示 设备 的 状态 ， 
并 提供 对 某 一 特定 设备 组 件 的 诊断 和 配置 功能 。CiscoView 可 以 从 CiscoWorks for 
Windows Desktop 或 WhatsUp Gold 下 启动 。 如 果 是 从 CiscoWorks for Windows Desktop 
下 启动 ， 可 以 从 设备 列表 中 选择 要 监视 的 设备 。 如 果 要 监视 的 设备 不 在 设备 列表 中 ， 则 
直接 输入 设备 卫 地 址 。 选择 了 一 个 设备 之 后 , 将 出 现 有 关 该 设备 信息 的 页 面 , 如 图 1-132 
所 示 。 如果 想 从 WhatsUp Gold 下 启动 CiscoView, 在 Network Map 下 选择 要 监视 的 设备 ， 
然后 单 击 右 键 ， 选 择 CiscoView 菜单 项 ， 同 样 会 出 现 如 图 1-132 所 示 的 页 面 。 

2) WhatsUp Gold 

WhatsUp Gold 是 一 种 基于 简单 网 络 管理 协议 (SNMP) 的 图 形 化 网 络 管理 工具 ， 可 
以 通过 自动 或 手工 创建 网 络 拓扑 结构 图 管理 整个 企业 内 部 网 络 ， 支 持 监视 多 个 设备 ， 具 
有 网 络 搜索 、 拓 扑 发 现 、 性 能 监测 和 警报 追踪 的 功能 ， 如 图 1-133 所 示 。 
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图 1-133 WhatsUp Gold 用 户 界面 


3) Threshold Manager 

Threshold Manager 使 用 户 能 够 在 支持 RMON 的 Cisco 设 备 上 设置 极限 值 及 获取 事件 
信息 ， 以 降低 网 络 管理 费用 ， 增 强 发 现 并 解决 网 络 故障 的 能 力 。 使 用 Threshold Manager 
之 前 ， 必 须 建 立 Threshold Manager 模板 。Cisco 公司 提供 了 一 些 预定 义 的 模板 ， 用 户 也 
可 以 自行 定义 自己 的 模板 。Threshold Manager 具有 以 下 功能 

。 支持 实现 RMON 事件 和 警报 组 的 Cisco 设备 。 
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。 给 某 个 MIB 变量 设置 阔 值 。 
。 为 某 个 设备 的 多 个 接口 设置 阔 值 。Threshold Manager 能 够 自动 区 分 接口 的 不 同类 
型 和 速度 ， 并 为 接口 设置 适当 的 阔 值 。 

。 自动 地 应 用 已 定义 的 Threshold 模板 。 

。 事件 日 志 管 理 ， 并 为 用 户 提供 某 个 事件 的 详细 信息 。 

当 超 出 为 某 个 设备 设置 的 阔 值 时 ， 就 发 生 了 一 个 事件 ， 然 后 设备 中 的 代理 就 会 执行 
下 列 功能 : 首先 是 产生 一 个 警报 ， 然 后 该 事件 记 入 日 志 ， 并 向 一 个 或 多 个 网 络 管理 站 点 
发 送 一 个 陷阱 (trap)， 接 着 Threshold Manager 将 执行 下 列 功能 : 显示 刚刚 记录 在 日 志 里 
的 事件 ， 将 事件 与 Threshold 模板 关联 起 来 ， 之 后 ， 管 理 员 可 以 通过 检查 这 些 事件 来 发 
现 潜在 的 问题 。Threshold Manager 管理 界面 如 图 1-134 所 示 。 
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图 1-134 Threshold Manager 管理 界面 


在 图 1-134 中 ，Event Log 窗口 以 表格 的 方式 显示 越界 事件 信息 ， 并 以 RMON 日 志 
记录 存在 被 管理 的 设备 上 ; Device Threshold 窗口 用 来 显示 、 设置 当前 被 管理 设备 的 系统 
或 接口 的 闪 值 ，Templates 窗口 用 来 显示 所 有 默认 的 或 用 户 定制 的 模板 , 也 可 以 建立 新 的 
模板 ; Trap Receivers 窗口 可 以 用 来 增加 或 删除 接收 陷入 事件 的 管理 站 点 ; Preferences 窗 
口 可 以 用 来 设置 Threshold Manager 的 属性 。 

4) Show Commands 

Show Commands 使 用 户 不 必 记 住 每 个 设备 复杂 的 命令 行 语法 ， 通 过 使 用 Web 浏览 
器 进行 简单 操作 就 可 以 获得 有 关 设 备 详 细 的 系统 和 协议 信息 。Show Commands 在 Web 
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页 面 的 左边 以 树 型 显示 了 某 设 备 所 支持 的 命令 列表 ， 如 图 1-135 所 示 。 当 用 户 选择 了 一 
个 命令 后 ，Show Commands 将 执行 下 列 功能 : 

。 在 设备 上 执行 所 选择 的 命令 。 

。 从 设备 上 搜集 输出 信息 (包括 系统 和 协议 信息 )。 

。 在 屏幕 上 显示 输出 信息 。 


oft Internet Explo; 


Show Ee 


Device Name: 10.10.10.1 


Main Screen My Commands Preferences 


Using 1080 out of 413676 bytes, unconpressed size = 2331 bytes 
Uneonpressed configuration fron 1080 bytes to 2331 bytes 


version 12.1 

no service pad 

service tinestamps debug uptine 
service tinestanps log uptine 
no service password-encryption 
service conpress-config 

1 


hostname SINOSOFT 
! 


enable secret 5 $1$IPGKSM5UCjOSISnfF/1IYObwa]/ 
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回 
1-135 ”Show Commands 操作 界面 


2. HP OpenView 

HP OpenView 作为 强大 的 网 络 和 系统 管理 工具 ， 可 以 帮助 企业 主动 地 实现 系统 和 网 
络 管理 。 其 中 ，HP OpenView 应 用 和 系统 管理 解决 方案 (Integrated IT Management 
Solution) 是 企业 集成 化 管理 解决 方案 的 基本 组 成 部 分 ， 它 以 服务 质量 战略 为 核心 ， 利 用 
针对 业务 应 用 管理 的 新 技术 ， 为 企业 提供 最 全 面 的 IT 系统 和 应 用 管理 。 

企业 各 项 业务 的 日 益 电子 化 ,IT 部 门 的 职责 是 否 能 够 成 功 实 现 由 内 向 外 的 转变 (为 
外 部 客户 提供 高 性 能 、 高 可 用 性 、 安 全 的 IT 服务 )， 已 经 成 为 一 个 迫在眉睫 的 问题 。HP 
OpenView 是 一 项 具有 战略 性 意义 的 产品 ， 它 集成 了 网 络 管理 和 系统 管理 各 自 的 优点 ， 
并 把 它们 有 机 地 结合 在 一 起 ， 形 成 一 个 单一 而 完整 的 管理 系统 ， 从 而 使 企业 在 迅猛 发 展 
的 Intemet 时 代 取 得 辉煌 成 功 ， 立 于 不 败 之 地 。 

HP OpenView 应 用 和 系统 管理 由 多 个 功能 套件 组 成 ,针对 不 同 的 需求 ， 完 成 不 同 的 
管理 功能 。HP OpenView 包括 以 下 功能 套件 。 
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一 体 化 网 络 和 系统 管理 平台 : HP OpenView Operations 。 

功能 强大 的 报告 管理 : HP OpenView Reporter。 

端 到 端 资源 和 性 能 管理 : HP OpenView Performance。 

具有 实时 诊断 和 监控 功能 的 : HP OpenView GlancePlus。 

提供 可 全 面 管理 系统 可 用 性 与 性 能 的 综合 性 产品 : GlancePlus Pak 2000。 

对 服务 器 与 数据 库 的 性 能 和 可 用 性 进行 管理 的 HP OpenView Database Pak 2000。 

这 些 模块 相互 依存 ， 相 互 支持 ， 集 成 为 功能 强大 的 系统 和 应 用 管理 平台 ， 为 企业 提 
供 最 全 面 的 集成 化 应 用 和 系统 管理 功能 。 以 下 将 对 上 述 功能 套件 作 一 些 简单 的 介绍 。 

HP OpenView Operations for Windows 管 理 服务 器 能 支持 数 百 个 受 控 节 点 和 数 千 个 事 
件 。 它 不 仅 可 以 通过 服务 视图 来 扩展 企业 的 传统 运营 管理 ， 还 可 以 从 任意 地 点 进行 跨 平 
台电 子 商务 基础 设施 的 管理 。 借 助 它 ， 企 业 可 从 服务 角度 进行 管理 、 管 理 混 合 电子 商务 
基础 设施 并 获得 在 基本 运行 管理 基础 上 创新 的 能 力 。 

HP OpenView Operations for UNIX 是 由 业务 驱动 的 管理 模式 ， 它 使 企业 快速 控制 电 
子 化 服务 。 作 为 分 布 式 大 型 管理 解决 方案 ， 它 能 监视 、 控 制 和 报告 IT 环境 的 状态 ， 实 现 
深入 的 超大 型 混合 管理 ， 延 长 组 成 电子 企业 环境 的 各 个 部 件 的 正常 运行 时 间 。 正 是 因为 
该 管理 模块 具有 如 此 强大 功能 ， 运 用 它 复杂 的 IT 系统 进行 管理 ， 使 系统 拥有 了 高 效 性 、 
实用 性 、 可 扩展 性 特点 ， 提 高 工作 效率 ， 减 少 资 源 和 成 本 的 浪费 ， 保 障 了 各 业务 系统 平 
稳 、 健 康 地 运行 。 

HP OpenView Reporter 模块 为 企业 分 布 式 的 IT 环境 提供 的 廉价 、 灵 活 、 易 用 的 管理 
报告 解决 方案 。 它 提供 了 标准 和 可 定制 报告 ， 自 动 将 HP OpenView 在 所 有 支持 平台 上 获 
取 的 数据 转化 为 企业 可 利用 的 重要 管理 信息 。Reporter 使 报告 能 经 由 Web 浏览 器 发 布 ， 
企业 中 能 访问 Web 浏览 器 的 每 个 人 都 可 立即 获得 报告 。 并 无 颖 地 集成 在 HP OpenView 
系列 之 中 ， 使 企业 根据 所 收集 的 数据 提供 集成 化 的 中 央 管 理 报告 解决 方案 。 

HP OpenView Performance 是 一 种 强大 的 端 到 端 资源 和 性 能 管理 组 件 。 无 论 管理 环境 
是 由 单一 系统 构成 还 是 由 大 型 系统 网 络 构成 ， 它 都 能 收集 、 总 结 和 记录 来 自 应 用 、 数 据 
库 、 网 络 和 操作 系统 的 资源 和 性 能 测量 数据 ， 并 把 这 些 数据 进行 整理 后 转 为 对 用 户 有 用 
的 信息 ， 最 终 以 经 济 有 效 的 方式 为 用 户 提供 最 佳 的 服务 级 别 ; HP OpenView Performance 
可 深入 检查 资源 使 用 率 和 性 能 趋势 ， 通 过 这 一 信息 ， 管 理 人 员 可 以 发 现 系统 瓶颈 。 通 过 
比较 活动 水 平 ， 可 均衡 工作 负载 ， 提 供 保持 系统 平滑 运行 的 信息 ， 使 用 户 可 以 有 效 地 控 
制 和 利用 资源 ， 及 时 调整 多 个 分 布 式 的 系统 环境 ， 对 系统 中 影响 服务 层 和 用 户 层 的 故障 
做 出 响应 ， 同 时 还 使 系统 管理 员 能 有 效 扩展 其 管理 范围 ， 对 本 地 和 远 地 的 系统 进行 有 效 
管理 和 监控 ， 此 外 ，HP OpenView Performance 数据 可 以 多 种 格式 输出 ， 用 于 容量 规划 、 
统计 数据 分 析 和 电子 数据 表 应 用 中 。 从 而 在 性 能 管理 和 问题 分 析 、 资 源 规划 和 服务 管理 
等 主要 领域 满足 企业 的 分 布 式 管理 要 求 。 

HP OpenView Database Pak 2000 管理 模块 ， 对 服务 器 与 数据 库 的 性 能 和 可 用 性 进行 
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管理 。 它 提供 强大 的 系统 性 能 与 诊断 功能 ， 有 效 收集 并 记录 系统 与 数据 库 统计 数据 并 进 
行 告警 ， 能 够 检测 关键 事件 并 采取 修复 措施 ， 提 供 200 多 种 测量 数据 和 300 多 种 日 志文 
件 状态 。 利 用 安装 在 服务 器 上 的 Database Pak 2000， 用 户 可 以 及 时 地 发 现 数据 库 与 系统 
资源 的 性 能 问题 ， 以 防止 进一步 恶化 ， 及 时 有 效 地 对 系统 和 数据 库 进行 管理 。 

以 上 模块 既 相 对 独立 ， 又 可 完全 集成 在 一 起 ， 为 企业 提供 高 可 用 性 的 系统 管理 解决 
方案 。 例 如 ，HP OpenView Operations 可 以 与 Network Node Manager、Reporter 及 
了 Performance 等 结合 在 一 起 , 完全 集成 于 HP OpenView 系列 之 中 , 共同 构成 HP OpenView 
解决 方案 的 中 央 控 制 台 ， 对 IT 系统 提供 全 面 的 管理 。 正 是 由 于 HP OpenView 应 用 和 系 
统管 理解 决 方案 拥有 如 此 强大 的 集成 功能 ， 并 且 适 合 不 同 规模 的 企业 使 用 。 而 中 小 企业 
的 崛起 和 普及 ， 为 HP OpenView 的 应 用 提供 了 更 大 的 发 展 空间 。 

3. IBM Tivoli NetView 

Tivoli NetView 是 IBM 公司 著名 的 网 络 管理 工具 ， 能 够 提供 整个 网 络 环境 的 完整 视 
图 ， 实现 网 络 产 品 的 管理 。 它 采用 标准 的 SNMP 协议 对 网 络 上 符合 该 协议 的 设备 进行 实 
时 的 监控 , 对 网 络 中 发 生 的 故障 进行 报警 ， 从 而 减少 系统 管理 的 管理 难度 和 管理 工作 量 。 
NetView 以 其 先进 性 、 可 靠 性 、 安 全 性 获得 业界 好 评 ， 在 市 场 上 具有 较 高 的 占有 率 。 

通过 IBM Tivoli 网 络 管理 解决 方案 ， 可 以 实现 的 功能 主要 包括 以 下 一 些 。 

1) 网 络 拓扑 管理 

自动 发 现 和 生成 网 络 拓扑 是 网 管 软件 的 基本 功能 要 求 。Tivoli NetView 能 够 自动 发 现 
联网 的 所 有 卫 节点 , 包括 路 由 器 、 交 换 机 、 服 务 器 、PC 等 , 并 自动 生成 拓扑 连接 。 NetView 
提供 按照 网 络 节 点 所 在 的 地 理 位 置 对 网 络 拓 扑 图 进行 客户 化 ， 使 之 与 实际 的 网 络 结构 更 
加 吻合 。 图 1-136 是 Tivoli 网 络 管理 拓扑 显示 界面 。 
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图 1-136 ”Tivoli 网 络 管理 拓扑 显示 界面 
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NetView 提供 SmartSet 的 功能 , 能 够 将 具有 相同 属性 的 重要 管理 对 象 做 成 管理 集合 ， 
例如 ， 用 户 可 以 把 重要 的 路 由 器 放 在 一 起 作为 一 个 SmartSet， 以 方便 对 这 些 路 由 器 作 统 
一 的 管理 设置 .与 其 他 信息 收集 工具 不 同 , Tivoli NetView SmartSet 不 需要 手工 加 入 对 象 ， 
管理 员 只 需 设 置 加 入 的 属性 条 件 〈 如 条 件 为 Cisco 路 由 器 )，SmartSet 能 够 动态 发 现 符合 
该 条 件 的 设备 并 自动 加 入 ， 因 而 消除 了 人 为 错误 和 过 时 信息 ， 为 管理 员 提 供 了 很 大 的 管 
理 便 利 。 

2) 网 络 故障 管理 

网 络 故障 管理 是 网 络 管理 的 核心 ， 网 管 软件 应 当 能 够 及 时 发 现 网 络 的 故障 ， 按 照 故 
障 的 轻重 缓急 产生 不 同 的 报警 , 并 且 具 备 对 故障 事件 自动 处 理 的 能 力 。Tivoli NetView 图 
形 化 的 网 络 IP 拓扑 结构 ， 使 网 络 管理 员 可 以 迅速 方便 地 发 现 区 域 网 上 出 现 故 障 的 卫 资 
源 并 帮助 管理 员 分 析 故 障 原 因 。 当 网 络 中 的 设备 出 现 故 障 ， 机 器 死机 或 网 络 链 路 中 断 ， 
NetView 会 及 时 在 屏幕 上 出 现 报警 信 号 ， 并 在 拓扑 图 中 将 该 设备 置 成 红色 。 便 于 网 络 管 
理 人 员 发 现 诊断 。 

3) 网 络 性 能 管理 

网 管 人 员 需 要 了 解 网 络 实时 的 性 能 状况 ， 需 要 能 够 对 网 络 性 能 作出 分 析 和 预测 ， 并 
生成 相应 的 报表 。Tivoli NetView 的 SnmpCollect 功能 ， 能 够 自动 采集 重要 的 网 络 性 能 数 
据 ， 如 卫 流量 、 带 宽 利用 率 、 出 错 包 数量 、 丢 弃 包 数量 、snmp 流量 等 ， 并 设置 相应 的 
阔 值 ， 当 所 采集 的 数据 达到 阔 值 时 能 够 触发 报警 或 者 定义 好 的 自动 操作 。 可 以 用 图 形 的 
方式 显示 这 些 网 络 性 能 数据 的 变化 情况 ,也 可 以 将 这 些 数据 存放 于 关系 型 数据 库 系统 中 ， 
以 便于 检索 和 分 析 ， 如 图 1-137 所 示 。 
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1-137 ”网络 性 能 分 析 监 控 显 示 
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Tivoli Data Warehouse 将 为 网 络 性 能 管理 提供 集中 的 历史 统计 和 报表 分 析 , 能 够 帮助 
管理 人 员 从 大 量 数据 中 及 时 发 掘 出 可 以 用 作 判 断 网 络 运 行 状况 的 数据 ， 能 够 生成 各 种 报 
表 和 图 形 化 的 分 析 报告 。 

4) 网 络 设备 管理 

Tivoli NetView 是 使 用 最 广泛 的 网 络 管理 平台 之 一 , 支持 业界 标准 的 API, 能 够 与 主 
要 网 络 设备 厂商 的 设备 管理 软件 , 如 CiscoWorks、Nortel (Bay) Optivity、 3com Transcend 
等 方便 地 进行 集成 ， 从 而 能 够 统一 从 NetView 的 Console 对 各 种 网 络 设备 进行 监控 和 配置 。 

通过 使 用 Tivoli NetView 与 网 络 设备 管理 软件 的 集成 ， 管 理 人 员 可 以 全 面 地 管理 网 
络 、 网 络 设备 、 网 络 性 能 ， 及 时 获取 网 络 故障 的 信息 ， 从 而 在 最 短 时 间 内 解决 网 络 故障 。 

5) 管理 权限 分 配 

Tivoli NetView 可 以 为 管理 员 定义 不 同 的 管理 角色 ,不同 的 管理 员 可 以 被 授权 管理 不 
同 地 址 范围 的 设备 ， 而 且 没 有 权限 管理 的 设备 不 会 在 拓扑 图 中 显示 出 来 。 

6) Web 管理 功能 

Tivoli NetView 通过 Web Console 实现 分 布 式 管理 界面 。NetView Web Console 为 用 
户 提 供 了 一 个 灵活 、 可 配置 的 环境 ， 以 便 用 户 可 以 访问 网 络 状态 和 配置 信息 。 

使 用 Web Console 可 以 浏览 交换 机 的 端口 状态 、 路 由 器 状态 、MAC 地 址 状态 等 , 方 
便 了 交换 机 管理 。 

7) 支持 MPLS 管理 功能 

NetView 7.1 支持 对 MPLS 设备 的 识别 ,并 能 对 有 关 MPLS 的 数据 进行 查询 .NetView 
可 以 管理 LSR (Label Switch Routers) 设备 。 

8) 交换 机 的 故障 定位 

IBM Tivoli Switch Analyzer 提供 第 二 层 交 换 设 备 发 现 功 能 ， 识 别 包括 第 二 层 和 第 三 
层 交 换 设 备 在 内 的 设备 之 间 的 关系 。 正确 的 关联 分 析 , 无 论 其 根源 是 一 个 PP 寻 址 的 端口 
还 是 一 个 第 二 层 的 局 域 网 (LAN) 交换 机 上 非 PP 寻 址 的 端口 、 板 卡 或 插件 。 另 外 ，IBM 
Tivoli Switch Analyzer 还 扩展 了 IBM Tivoli NetView 和 IBM Tivoli Enterprise Console 的 故 
障 根源 分 析 功 能 。 

9) 整合 和 关联 

通过 提供 第 二 层 发 现 功能 以 及 第 三 层 拓扑 结构 的 关联 ，Tivoli Switch Analyzer 能 够 
在 不 需 人 员 干 涉 的 情况 下 生成 一 个 故障 根源 解决 方案 。 

10) 自动 化 管理 

IBM Tivoli Switch Analyzer 能 够 通过 第 二 层 交 换 设 备 的 SNMP 信和 号 自动 地 发 现 第 二 
层 交 换 机 设备 和 识别 网 络 关系 。 运 用 该 信息 ，Tivoli Switch Analyzer 能 够 掌握 识别 的 交 
换 机 、 端 口 、 板 卡 和 插件 与 已 知 的 第 三 层 拓扑 的 关系 。Tivoli Switch Analyzer 把 从 第 二 
层 交 换 设 备 得 到 的 信息 与 第 三 层 的 信息 相 混合 ， 用 来 帮助 形成 一 个 第 二 层 和 第 三 层 交 换 
拓扑 结构 的 更 完整 的 视图 。 
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11) 元 余 路 径 相 关 

IBM Tivoli Switch Analyzer 支持 网 络 中 的 元 余 结构 ， 这 需要 为 故障 根源 的 关联 而 做 
出 特殊 的 考虑 。 网 络 的 星 型 和 网 状 结构 可 能 导致 毫 无 意义 的 上 行 或 下 行 传输 冲突 ， 这 意 
味 着 在 这 些 复杂 的 环境 中 应 该 有 附加 的 逻辑 来 使 其 进行 关联 处 理 。Tivoli Switch Analyzer 
用 业界 独特 的 第 二 层 故 障 根源 关联 处 理解 决 了 这 个 问题 ， 它 主要 是 考虑 了 底层 接口 、 端 
口 和 插件 的 逻辑 负载 。 

12) 安全 性 、 核 查 和 控制 

Tivoli Switch Analyzer 运用 操作 系统 软件 和 Tivoli 管理 框架 的 安全 和 核查 功能 来 防 
止 入 侵 ， 访 问 核 查 跟踪 记录 并 进行 分 级 。 

4. Sun Net Manager 

随 着 客户 机 /服务 器 计算 技术 的 爆发 性 增长 , 如 今 的 企业 面临 着 如 何 最 好 地 管理 复杂 
的 、 异 构 的 环境 。 这 个 挑战 由 于 没有 一 致 的 管理 平台 管理 不 同 大 小 的 环境 而 变 得 更 加 复 
杂 。 低 档 平 台 可 以 经 济 有 效 地 管理 小 的 网 络 ， 但 是 不 能 调整 到 管理 大 的 环境 。 相反 地 ， 
高 档 企业 管理 平台 由 于 价格 较 高 不 适 于 小 的 网 络 。 此 外 ， 平 台 一般 没 有 提供 平台 之 间 的 
允许 跨 网 络 管理 的 分 布 产 品 。 为 了 满足 这 个 需要 ，Sun 公司 开发 了 Solstice Site Manager 
和 Solstice Domain Manager， 它 们 均 是 基于 Sun Net Manager 和 Cooperative Console 技术 
的 网 络 管理 产品 。 

Sun Net Manager 的 分 布 式 结构 和 协同 式 管理 独树一帜 。Sun Net Manager 具有 如 下 

1) 分 布 式 管理 

Sun 采取 分 布 式 管理 ， 有 三 种 管理 模式 ， 外 部 到 中 央 的 管理 系统 可 以 在 必要 时 接管 
外 部 点 的 网 管 ， 分 级 的 管理 方式 可 以 缩小 网 管 的 容量 ， 必 要 时 还 可 以 相互 接管 ， 协 同 的 
管理 方式 ， 两 个 Domain Manager 的 数据 库 可 以 保持 同步 ， 必 要 时 可 以 互相 接管 工作 。 

与 Sun Net Manager 通过 RPC 沟通 的 Agent 有 两 种 类 型 :直接 存 取 管 理 对 象 , 如 CPU 
统计 Agent、 磁 盘 信 息 Agent 等 ， 非 直接 存 取 规 律 对 象 ， 也 称 Proxy Agent (委托 代理 )。 

Proxy Agent 是 分 布 式 管理 体系 结构 的 基础 ， 它 可 以 很 容易 地 扩充 网 管 容量 。 规 模 化 
的 管理 用 Proxy Agent 来 实现 。 这 种 Proxy Agent 为 用 户 带 来 三 方面 的 好 处 : 网 络 管理 的 
轮 询 (polling) 局 部 化 ， 减 少 了 文件 传输 的 开销 ， 增 加 了 每 个 管理 者 可 管理 的 节点 数 ; 
Proxy Agent 为 远程 Agent 提 供 了 广域网 上 可 靠 的 传输 ;通过 提供 不 同类 型 的 Proxy Agent， 
可 使 Sun Net Manager 管理 任何 类 型 协议 的 对 象 ， 例 如 DECnet 网 和 FDDI 网 等 。 

Sun Net Manager Agent 和 Proxy Agent 与 应 用 程序 通过 RPC (ONC/RPC) 协议 进行 
通信 。Proxy Agent 将 RPC 协议 翻译 成 被 管理 元 素 所 能 理解 的 协议 ， 通 过 它 ，Sun Net 
Manager 可 以 管理 小 量 的 资源 ， 包 括 : 通信 协议 层 和 接口 ， 网络 设备 如 交换 机 、 路 由 器 、 
集线器 、 打 印 机 、 工 作 站 和 PC; 应 用 程序 、 数 据 和 网 络 服务 ， 系 统 和 操作 系统 资源 。 
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2) 协同 管理 

协同 管理 是 由 Sun Net Manager 和 Cooperative Console 共同 实现 的 ,其 主要 特点 是 信 
息 的 分 布 采 集 、 信 息 的 分 布 执行 、 应 用 的 分 布 执行 。 我 们 可 将 一 个 小 型 企业 网 管 按 其 业 
务 组 织 或 地 域 分 为 若干 区 ， 每 个 区 都 有 自己 独立 的 网 管 系统 。 但 有 关 区 之 间 可 以 互相 作 
用 。 区 与 区 之 间 的 关系 可 根据 实际 需要 灵活 配置 ， 既 可 以 层次 ， 也 可 以 为 对 等 ， 甚 至 可 
以 根据 被 管 目标 的 特性 管理 职能 ， 例 如 路 由 器 、X.25 服务 器 、 数 据 库 应 用 等 可 分 别 由 不 
同 区 域 的 网 管 中 心 来 管理 ， 从 而 充分 发 挥 各 地 技术 专家 的 特长 。 

Sun Net Manager 2.3 不 但 提供 了 易 用 的 生成 事件 请 求 的 工具 ， 而 且 还 提供 了 非常 好 
的 事件 管理 功能 来 监视 关键 设备 的 状况 。Sun Net Manager 2.3 引进 了 一 个 新 的 特性 : 基 
于 事件 的 动作 (event-based actions)。 一 个 预先 定义 的 事件 发 生 ， 可 激发 一 个 接着 发 生 的 
事件 请 求 。 管 理 者 可 以 将 多 个 预先 定义 的 请 求 连接 起 来 ， 以 快速 诊断 问题 所 在 。 

Sun Net Manager 2.3 还 允许 对 某 一 类 设备 〈 如 Cisco 路 由 器 ) 提交 一 个 共同 的 事件 
请 求 。 

3) 全 面 支持 SNMP 

简单 网 络 管理 协议 是 一 个 用 于 管理 信息 交换 的 工业 标准 。Sun Net Manager 包括 了 所 
有 基本 的 SNMP 机 制 ， 而 且 允 许配 置 SNMP 陷阱 〈trap) 为 不 同 的 优先 等 级 。 在 网 络 中 
出 现 故 障 时 ， 能 够 传送 到 其 他 Solstice 或 非 Solstice 的 平台 上 ， 如 需要 对 IBM 的 小 型 机 
实现 一 体 化 的 管理 ，Sun 公司 相应 的 解决 方案 实现 SNMP 陷阱 到 IBM Netview 的 传送 。 
Sun Net Manager 同时 还 支持 SNMP v2。 

4) 具有 较 强 的 安全 性 

在 分 布 式 网 管 系统 中 ， 网 络 管理 系统 的 安全 性 显得 特别 重要 ， 在 配置 Cooperative 
Console 时 ， 系 统 提 供 访 问 控制 表 以 保证 具有 那些 被 授权 接受 管理 数据 的 人 才能 得 到 相 
关 信 息 。 另 外 Cooperative Console 还 提供 了 只 读 控制 台 的 功能 ， 使 得 一 般 的 网 管 人 员 只 
能 在 只 读 方式 下 操作 ， 不 能 增加 /移动 /删除 网 络 元 素 。 

5) 用 户 工具 

Sun Net Manager 的 用 户 工 具 很 丰富 , 它 可 使 操作 员 监 视 和 控制 网 络 及 系统 资源 。 图 
形 化 的 界面 简化 了 操作 过 程 和 减轻 了 培训 要 求 ， 这 些 工具 主要 包括 以 下 一 些 ; 

。 管理 控制 台 (management console )。 

。 搜寻 工具 〈discover tool)。 

。 Solstice Domain Manager 版 面 排 列 工 具 。 

e IPX 搜寻 工具 (IPX discover)。 

。 浏览 工具 (browsertool)。 

。 图 形 工具 。 

6) 应 用 程序 接口 

Sun Net Manager 既 提 供 了 用 户 工具 ,又 提供 了 开发 者 工具 。 开 发 者 工具 是 三 个 应 用 
编程 接口 API)， 厂 商 和 用 户 可 基于 API 开发 更 强大 、 更 具 个 性 化 的 工具 ， 以 扩展 Sun 
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Net Manager 中 用 户 工具 的 功能 。 这 三 个 API 分 别 是 : 管理 者 服务 API (manager services 
API)、 代 理 服务 API (agent services API) 和 数据 库 /拓扑 图 API (database/topology map 
services API) 。 


1.9.4.3 ”网 络 管理 应 用 


所 谓 的 “网 络 和 系统 管理 ” 究竟 应 该 管理 哪些 内 容 昵 ?对 于 不 同 的 人 ， 网 络 和 系 
统管 理 有 着 不 同 的 含义 。 对 于 一 个 简单 的 网 络 环境 ， 如 办 公 局 域 网 来 说 ， 用 网 络 分 析 工 
具 监 控 一 个 孤立 的 网 络 也 许 就 能 满足 要 求 。 对 于 企业 级 的 大 型 网 络 ， 也 可 能 是 涉及 分 布 
式 数 据 库 、 网 络 设备 的 自动 轮 询 、 网 络 拓扑 管理 的 大 型 分 布 式 系统 。 此 时 的 网 络 和 系统 
管理 就 是 要 利用 各 种 手段 帮助 管理 人 员 监 控 和 维护 所 有 的 IT 资源 , 包括 网 络 设备 、 服务 
器 、 数 据 库 等 。 具 体 表现 为 如 下 几 个 方面 : 

(1) 端 到 端的 系统 监控 管理 。 

(2) 减少 系统 故障 时 间 。 

(3) 使 系统 发 挥 最 大 的 性 能 。 

(4) 实现 最 大 程度 的 自动 化 操作 。 

(5) 保障 企业 系统 安全 。 

(6) 保障 业务 系统 平滑 地 运行 。 

(7) 规范 业务 支持 流程 。 

(8) IT 系统 更 好 地 为 客户 服务 。 

例如 ， 对 于 一 个 将 数据 存放 在 不 同 地 方 的 公司 ， 其 差别 可 能 表现 在 设备 不 同 ， 如 存 
放 在 不 同 的 PC、 工作 站 、 服 务 器 或 专用 计算 机 上 ; 部 门 不 同 ， 如 可 以 在 计算 中 心 ， 也 可 
以 在 其 他 各 个 部 门 ; 网 络 不 同 ， 如 可 以 在 内 联网 上 ， 也 可 以 在 外 部 供 货 商 和 经 销 商 的 网 
络 中 。 其 网 络 设备 组 成 也 会 表现 为 体系 结构 不 同 或 使 用 多 厂商 的 设备 , 对 于 这 样 的 情况 ， 
可 以 从 以 下 几 个 方面 考虑 问题 。 

(1) 数据 集成 。 系 统 应 该 有 统一 的 文件 系统 结构 和 数据 访问 控制 规则 ， 可 以 通过 防 
火 墙 等 安全 设备 来 划分 各 自 独立 的 文件 系统 和 数据 库 ， 也 可 以 通过 本 地 透明 访问 来 创建 
全 球 虚 拟 化 。 

(2) 透明 性 。 需 要 有 与 命名 相关 的 统一 命名 空间 ， 使 用 户 可 以 利用 一 条 访问 路 径 找 
到 他 们 所 需要 的 信息 ， 而 不 用 关系 他 们 碰巧 使 用 了 哪些 计算 机 。 

(3) 安全 性 。 人 允许 指定 各 区 域 任务 和 安全 性 的 “ 域 ”。 访 问 系统 必须 规定 对 安全 破 
坏 发 生 时 的 访问 过 滤 策 略 、 身 份 验证 机 制 、 信 息 初 始 化 和 事件 处 理 。 还 设计 利用 备份 进 
行 元 余数 据 存储 时 保持 数据 的 一 致 性 问题 ， 使 用 数据 备份 防止 数据 临时 丢失 ， 以 及 以 归 
档 的 方式 进行 长 期 数据 存储 备份 。 由 于 一 些 数据 经 常 存储 于 不 同 的 位 置 的 不 同 存储 结构 
层次 上 ， 必 须 定义 这 些 不 同 层 次 之 间 的 数据 迁移 策略 。 

再 如 ， 某 个 专利 办 公 室 的 专利 检查 员 需 要 使 用 多 极 检索 程序 来 检索 大 约 2000 万 个 
图 形 文件 ， 另 外 还 必须 提供 对 60 万 个 文本 文件 的 全 文 检 索 。 这 个 时 候 ， 依 据 SLA， 该 
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系统 必须 提供 可 用 性 为 98% 的 工作 时 间 ; 在 并 行 查询 的 检索 次 数 为 60 次 和 高 达 10 万 次 
命中 ， 响 应 时 间 应 该 小 于 3s/ 查 询 ， 显 示 时 间 是 文档 内 0.7s， 文 档 之 间 1.5s。 

这 种 情况 时 ， 相 应 的 管理 任务 包括 以 下 一 些 内 容 : 

(1) 根据 SLA 检测 服务 质量 。 

(2) 应 用 模块 管理 。 如 软件 分 发 、 参 数 提供 、 搜 索 系 统 更 新 、 运 行 分 布 式 “搜索 ” 
应 用 模块 。 

(3) 网 络 和 系统 管理 。 底 层 操作 (网 络 和 终端 系统 ) 的 安全 性 、 数 据 备份 。 

(4) 用 户 管理 、 计 费 管 理 。 

(5) 依据 服务 质量 提供 报告 和 详细 服务 。 

市 场 竞争 越 来 越 依赖 于 信息 处 理 和 交换 ， 有 时 甚至 是 真实 价值 和 物质 的 交换 ， 如 股 
票 市 场 、 汇 款 、 订 货 、 模 拟 和 虚拟 现实 ， 因 此 ， 分 布 式 系统 的 商业 处 理 任务 越 来 越 重 ， 
其 管理 的 重要 性 也 越 来 越 突 出 。 

由 于 系统 的 复杂 性 、 变 更 的 灵活 性 、 服 务 的 可 用 性 以 及 运行 成 本 等 因素 ， 造 成 了 管 
理 上 的 许多 障碍 。 管 理 技 术 、 方 案 、 方 法 的 多 样 性 ， 对 管理 人 员 提 出 更 高 的 要 求 。 

当今 的 产品 和 服务 必须 适应 飞速 变化 的 市 场 。 依 靠 信息 处 理 的 商务 和 生产 活动 不 得 
不 跟 上 市 场 的 需求 。 对 于 管理 方案 也 有 灵活 性 的 要 求 。 同 时 ， 管 理 系统 还 必须 具备 一 定 
的 灵活 性 ， 以 适应 不 同 层 次 的 管理 变化 ， 以 及 物理 位 置 、 软 硬件 和 处 理 负载 等 的 变化 。 

分 布 式 系统 自身 不 是 目的 ， 它 们 是 用 来 提供 服务 的 。 服 务 的 提供 必须 依据 SLA。 但 
是 , 仅仅 从 功能 的 角度 描述 服务 是 不 够 的 。 需要 有 一 个 可 操作 的 接口 来 调用 和 评价 服务 。 
这 里 的 评价 意味 着 能 对 所 达到 的 服务 质量 进行 评价 。QoS 对 服务 质量 、 服 务 安全 质量 和 
客户 服务 质量 从 整体 上 进行 评价 ， 是 服务 提供 商 和 服务 用 户 之 间 的 典型 接口 信息 。 

尽管 网 络 管理 的 解决 方案 针对 不 同 层次 的 应 用 需求 有 着 具体 细节 上 的 不 同 ， 但 是 网 
络 管理 的 基本 应 用 还 是 由 以 下 几 个 方面 构成 : 网 络 资源 状态 监视 、 闵 值 监视 、 事 件 管理 、 
配置 应 用 、 拓 扑 管理 以 及 性 能 监视 等 。 

(1) 网 络 资源 状态 监视 。 

监测 资源 的 目的 在 于 尽 可 能 获得 有 关 资 源 服务 质量 和 状态 的 最 新 信息 。 监 测 涉及 到 
访问 某 些 资源 的 属性 ， 监 测 总 是 由 管理 工作 站 发 起 的 ， 管 理工 作 站 轮 询 资源 并 分 析 轮 询 
结果 。 因 此 ， 实 现 监测 功能 极 大 地 依赖 于 对 单个 资源 进行 寻 址 所 采用 的 协议 。 

(2) 阔 值 监测 。 

阀 值 的 设 定 在 很 大 程度 上 取决 于 设计 者 的 经 验 知识 ， 目 前 还 没有 哪 种 工具 能 够 支持 
对 监测 过 程 进行 切合 实际 的 阔 值 配置 。 阔 值 主要 是 通过 管理 工作 站 进行 指定 、 管 理 和 监 
测 、 当 网 络 管理 系统 检测 到 超出 阔 值 的 情况 时 ,就 向 事件 管理 应 用 程序 发 出 相应 的 事件 。 

(3) 事件 管理 。 

事件 管理 负责 接收 和 处 理事 件 ， 这 些 事件 可 以 由 被 管 设备 产生 并 发 送 给 管理 工作 站 
的 外 部 事件 ， 也 可 以 是 由 网 络 管理 平台 的 其 他 部 件 ， 比 如 阔 值 监测 过 程 所 产生 的 内 部 
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事件 对 用 户 的 可 视 化 是 一 种 重要 的 功能 。 可 视 化 建立 在 被 管 资源 的 状态 模型 的 基础 
上 ， 这 样 一 种 模型 描述 了 资源 的 状态 与 导致 状态 变化 的 事件 之 间 的 关系 。 
(4) 配置 应 用 。 
配置 应 用 向 用 户 提供 了 对 资源 的 写 访问 ， 配 置 应 用 可 以 分 成 如 下 几 种 形式 : 
。 有 关 当 前 资源 配置 的 信息 。 可 使 用 SNMP 询问 诸如 路 由 表 、 接 口 表 、 地 址 表 和 
ARP 表 等 。 
。 通过 管理 协议 改变 配置 。SNMP 协议 的 Set 服务 用 来 改变 部 件 中 的 配置 信息 。 这 
里 的 难点 之 一 是 ， 由 于 SNMP 的 安全 问题 ， 许 多 厂商 并 不 允许 对 资源 的 写 访问 。 
。 通过 登录 系统 进行 配置 。 设 备 制造 商 提 供 允 许 用 户 登 录 系 统 直 接 改 变 系统 配置 的 
工具 ， 当 使 用 网 络 管理 平台 时 ， 用 户 可 以 通过 图 形 用 户 界面 直接 登录 系统 ， 比 如 
使 用 Telnet。 
(5) 拓扑 管理 。 
网 络 管理 平台 的 另 一 种 重要 功能 是 拓扑 发 现 功能 。 它 是 使 用 管理 协议 收集 尽 可 能 多 
的 有 关 网 络 的 资源 的 配置 信息 ， 并 且 保 存在 网 络 管理 平台 的 数据 库 中 。 
(6) 性 能 监视 。 
性 能 监视 用 于 定义 和 执行 性 能 测量 ， 与 阔 值 监视 类 似 ， 测 量 由 以 下 参数 定义 : 
。 通过 指定 系统 和 被 测量 的 属性 来 选择 测量 点 。 
。 选择 测量 间隔 ， 即 选择 执行 测量 的 采样 频率 。 
。 通过 给 出 起 始 和 终止 时 间 项 来 指定 测量 期 间 。 
性 能 管理 的 目的 就 是 确保 网 络 不 会 出 现 过 度 拥挤 的 情况 ， 保 障 网 络 的 可 用 性 ， 为 用 
户 提供 更 好 的 网 络 通信 服务 ， 它 主要 采用 实时 监控 网 络 设备 和 相应 的 所 有 连接 ， 监 视 设 
备 和 线路 的 使 用 率 和 出 错 率 及 相应 的 阔 值 , 并 进行 阔 值 报警 ; 实行 定期 的 历史 数据 分 析 ， 
及 时 提示 管理 者 和 决策 者 作出 设备 或 线路 的 升级 计划 ， 保 证 设备 和 线路 的 容量 不 会 由 于 
过 度 使 用 而 出 现 网 络 性 能 急剧 下 降 的 情况 。 


1.10 ”服务 质量 技术 


1.10.1 基本 概念 与 相关 技术 


1.10.1.1 QoS 概述 


在 通信 和 计算 机 网 络 中 ， 服 务 质量 简称 QoS。Qos 的 提出 始 于 ATM 交换 机 。 QoS 
有 广义 和 狭义 之 分 : 狭义 QoS 指 技术 指标 〈 传 输 时 延 、 抖 动 、 丢 失 率 、 带 宽 要 求 、 吞 
吐 量 等 ); 广义 QoS 指 资源 调配 与 利用 、 层 与 层 之 间 的 协商 ， 从 而 涉及 不 同 层次 的 QoS 。 
QoS 在 IETF 中 定义 为 “A set of service requirements to be met by the network while 
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transporting a flow”， 即 网 络 在 传输 数据 流 时 要 满足 的 一 系列 服务 要 求 ， 具 体 可 以 量化 为 
传输 时 延 、 抖 动 、 丢 失 率 、 带 宽 要 求 、 吞 吐 量 等 指标 。 

因特网 的 QoS 是 指 某 个 主机 上 的 应 用 向 其 他 主机 上 的 应 用 发 出 一 系列 的 数据 包 流 
时 的 平均 速率 、 最 大 速率 、 数 据 包 的 延迟 时 间 、 抖 动 、 数 据 包 的 丢失 等 。 移 动 通信 网 络 
的 QoS 是 指 某 个 终端 的 应 用 向 其 他 终端 的 应 用 发 出 一 系列 的 数据 包 流 时 的 平均 速率 、 数 
据 包 的 延迟 时 间 、 抖 动 、 数 据 包 的 丢失 等 。 

但 是 这 些 值 并 不 是 只 从 网 络 的 结构 就 能 确定 的 ， 它 具有 受 流入 网 络 中 的 通信 量 影响 
的 特性 。 就 好 比 高 速 公路 的 质量 ， 高 速 公路 的 质量 应 该 是 时 速 多 少 千 米 ， 但 仅 靠 公路 的 
结构 值 是 不 能 预测 公路 的 质量 的 , 它 不 仅 与 汽车 的 流量 有 密切 关系 , 还 与 天 气 状况 有 关 ， 
如 大 雪 封 路 等 。 

因特网 和 移动 通信 网 同样 如 此 。 例 如 ， 如 果 不 对 流入 的 通信 量 加 以 制约 ， 就 不 可 能 
预测 和 控制 网 络 内 的 延迟 。 不 仅 由 于 自己 的 通信 量 ， 还 会 由 于 别人 的 数据 量 而 发 生 线路 
速率 、 误 码 率 和 延迟 等 的 改变 。 

与 QoS 相似 的 概念 是 服务 等 级 〈CoS )。 当 网 络 根据 流 的 质量 分 为 不 同等 级 时 ， 其 
等 级 就 称 为 CoS 。 

IETF 提出 了 两 种 关于 因特网 的 国际 服务 标准 化 方法 : IntServ 和 DiffServ， 即 通常 
说 的 综合 服务 和 区 分 服务 。 

ITU 关于 QoS 问题 的 研究 开展 得 比较 早 ， 最 早 的 相关 建议 出 现在 20 世纪 60 年 代 ， 
当时 的 QoS 主要 是 指 传统 电话 业务 的 性 能 ， 但 是 随 着 IP 技术 在 电信 领域 的 应 用 ，QoS 
概念 的 内 涵 得 以 扩展 。 关 于 IP QoS 的 问题 ，ITU 发 布 了 一 系列 的 推荐 标准 〈 建 议 )， 集 
中 在 ITU-TE 800-E 899 系列 (电信 服务 质量 : 概念 、 模 型 、 目 标 与 规划 ) 中 。 这 里 IP QoS 
的 行为 主体 是 指 用 户 、 电 信 业 务 提供 商 《SP)、 电 信 网 络 提供 商 C(NP)。 用 户 与 电信 业务 
提供 商 之 间 、 电 信 业 务 提 供 商 与 电信 网 络 提供 商 之 间 签 订 SLA， 并 按照 SLA 中 规定 的 
服务 功能 和 性 能 指标 来 确定 服务 的 质量 。 与 IETF 关于 IP QoS 的 定义 相 比 ，ITU-T 的 卫 
QoS 不 单 指 网 络 层 QoS， 还 包括 应 用 层 QoS， 它 从 网 络 运营 的 角度 来 定义 了 P QoS， 认 为 
IP QoS 存在 于 各 个 网 络 运营 实体 之 间 。 

由 于 欧洲 电信 标准 协会 (European Telecommunication Standards Institute，ETSI) 和 
ITU 均 属 于 电信 和 领域 的 研究 机 构 ， 并 且 两 个 组 织 的 研究 人 员 在 IP QoS 研究 领域 有 重 登 ， 
因此 ETSI 对 IP QoS 概念 的 理解 基本 上 和 ITU 对 全 QoS 的 理解 相同 ， 均 是 从 网 络 运营 
的 角度 ， 基 于 各 个 网 络 运营 实体 来 定义 的 。 这 一 点 可 以 从 ETSI 文档 ETR 003 《服务 
质量 和 网 络 性 能 的 通用 概念 ) 中 看 出 。 

ISO 的 OSI 网 络 七 层 协议 栈 模 型 一 直 是 计算 机 网 络 协议 和 电信 网 络 协议 设计 、 分 析 、 
实现 的 重要 参考 ， 在 ITU-T X.200 (ISOTEC7498-1) 中 定义 了 七 层 协议 栈 模型 ， 在 这 个 
模型 中 给 出 了 一 些 关 键 的 定义 (如 服务 ), 但 是 没有 给 出 十 分 明确 的 和 七 层 协 议 栈 对 应 的 
服务 质量 的 概念 。 在 ISO/IEC JTCI-SC21 服务 质量 框架 (quality of service framework) 中 
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对 这 个 方面 的 内 容 进行 了 补充 , 给 出 了 完整 的 QoS 模型 和 相对 完善 的 QoS 定义 。ISO 认 
为 各 个 网 络 层次 之 间 、 对 等 层次 之 间 都 存在 服务 和 被 服务 关系 ， 因 此 就 存在 服务 质量 的 
概念 。 因 此 ，QoS 不 只 局 限于 网 络 层 和 应 用 层 ， 它 存在 于 网 络 的 各 个 协议 层次 之 间 ， 只 
要 有 服务 的 地 方 就 势必 有 服务 质量 的 概念 .ISO 对 QoS 的 定义 可 以 看 做 IETF, ITU, ETSI 
关于 QoS 定义 的 内 涵 的 超 集 。 


1.10.1.2 QoS 分 类 


目前 涉及 QoS 控制 和 管理 的 标准 有 以 下 一 些 : 
。 在 应 用 层 ，ISO/OSI 提出 了 基于 ODP (Open Distributed Processing) 分 布 式 环境 
的 QoS 控制 。 
。 在 网 络 层 ，ATM 论坛 提出 了 Qos 控制 的 策略 和 实现 。 
。 IETF RFC2115, RFC2117 中 的 IS(Integrated Service) 和 DS(Differentiated Service) 
体系 结构 ， 用 于 解决 mtemet 的 QoS 控制 和 管理 。 
。 在 数据 链 路 层 ， 以 太 网 络 中 提出 了 802.1p、802.1q 以 及 SBM (Subnet Bandwidth 
Management) 等 标准 。 
通过 服务 质量 控制 和 管理 技术 使 得 分 布 式 系统 可 以 支持 多 媒体 和 实时 数据 的 服务 ， 
但 是 不 同 组 织 、 不 同 企业 所 使 用 的 服务 质量 参数 不 同 ， 导 致 各 层次 上 的 参数 的 语法 、 语 
义 和 语 用 不 一 致 ， 这 使 已 提出 的 种 种 QoS 技术 难以 协同 地 为 建立 复杂 的 分 布 式 系统 而 
服务 。 
例如 ， 某 个 异 质 的 分 布 式 系统 ， 由 于 上 述 组 织 中 所 用 的 QoS 参数 不 同 ， 使 得 系统 中 
高 层 应 用 程序 与 下 层 不 同 层次 中 单元 的 QoS 参数 含义 、 表 示 和 度量 不 同 。 在 资源 层次 中 ， 
QoS 参数 取决 于 所 使 用 的 资源 类 型 及 它们 的 控制 参数 ， 比 如 在 ATM 中 QoS 参数 以 cell 
为 单位 ， 所 表示 的 是 cell 的 速率 、cell 的 延迟 、cell 的 抖动 和 cell 的 丢失 率 等 ,而 在 IETF 
的 IS 中 以 packet 为 单位 ， 所 表示 的 是 packet 的 速率 、packet 的 延迟 、packet 的 抖动 和 
packet 的 丢失 率 等 。 具 体 的 分 布 式 多 媒体 应 用 程序 需要 在 分 布 式 系统 上 运行 ， 它 要 求 下 
层 〈 如 操作 系统 层 、 网 络 层 等 ) 的 资源 按照 应 用 层 所 指定 的 QoS 参数 〈 比 如 ISO/OSI 
的 应 用 层 的 服务 质量 参数 标准 ) 的 范围 进行 服务 操作 。 分 布 式 系统 的 下 层 资 源 需 要 知道 
上 层 应 用 QoS 参数 的 语法 和 语义 ， 并 能 在 自己 的 资源 上 把 上 层 的 QoS 参数 映射 为 自己 
所 使 用 的 QoS 参数 类 别 〈 例 如 ， 卫 网 络 的 通信 资源 所 使 用 的 是 packet 延迟 和 packet 拌 
动 等 QoS 参数 ， 而 具体 的 分 布 式 视频 程序 所 使 用 的 是 帧 延迟 和 帧 抖动 等 QoS 参数 )。 如 
果 存 在 个 网 络 层 标准 和 1 个 应 用 层 标准 , 那么 QoS 参数 的 转换 存在 (n+1)! 种 可 能 性 ， 
要 建立 这 样 的 分 布 式 系 统 是 很 复杂 而 且 低 效 的 。 
为 此 ， 要 建立 一 个 支持 QoS 机 制 的 分 布 式 系统 ， 必 须 建立 统一 的 QoS 框架 (QoS 
framework)， 这 一 框架 包括 QoS 体系 结构 (QoS architecture) 和 QoS 规范 分 类 学 (QoS 
specification taxonomy)。 其 中 QoS 体系 结构 完成 把 与 QoS 有 关 的 复杂 的 资源 对 象 结合 
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起 来 ， 以 此 建立 有 效 的 分 布 式 系统 ; 而 QoS 规范 分 类 学 是 在 研究 QoS 参数 和 它们 之 间 
的 相互 关系 的 基础 上 ， 建 立 统一 的 QoS 参数 规范 ， 详 细 地 定义 QoS 参数 的 含义 、 表 示 、 
度量 单位 和 相互 关系 ， 最 终 使 得 分 布 着 的 各 个 系统 资源 组 件 之 间 ， 在 QoS 层面 得 到 统一 
的 转换 一 一 QoS 映射 (QoS mapping)。 这 样 构筑 的 基于 QoS 上 的 框架 将 为 新 一 代 分 布 式 
多 媒体 和 实时 系统 的 实现 建设 打下 坚实 的 基础 。 

由 于 以 上 原因 ， 人 们 逐渐 认识 了 QoS 分 类 学 技术 的 重要 性 ， 对 各 种 QoS 参数 进行 
统一 分 类 ， 使 得 QoS 的 映射 得 以 简化 和 易于 实现 。 


1.10.1.3 ”QoS 指标 参数 及 管理 测量 


1. QoS 的 主要 指标 参数 
当前 网 络 的 服务 质量 主要 有 以 下 一 些 衡 量 指标 。 
1) 可 用 性 
可 用 性 是 指 用 户 能 够 使 用 人 P 业务 可 用 性 功能 的 时 间 间 隔 占 IP 业务 全 部 时 间 间 隔 的 
百分比 。 在 连续 5min 内 ， 如 果 一 个 人 P 网 络 所 提供 业务 的 丢 包 率 小 于 或 等 于 75%， 则 认 
为 该 时 间 段 是 可 用 的 ， 否 则 是 不 可 用 的 。 可 用 性 主要 用 于 衡量 网 络 设备 、 链 路 正常 提供 
业务 的 能 力 ， 确 定 该 网 络 设备 、 链 路 是 否 能 够 支持 连续 可 用 的 数据 包 传送 业务 。 
2) 吞吐 量 
吞吐 量 是 指 网 络 中 人 P 包 的 传输 速率 ,可 表示 为 平均 速率 或 峰值 速率 。 网 络 的 吞吐 量 
是 衡量 网 络 能 够 成 为 一 个 人 P 流转 发 报 的 能 力 , 主要 取决 于 链 路 速率 、 节 点 设备 的 端口 速 
率 ， 以 及 网 络 的 业务 量 状况 。 . 
3) 延迟 
延迟 是 指 卫 包 从 网 络 入 口 点 到 达 出 口 点 所 需要 的 传输 时 间 间 隔 。 造 成 网 络 延迟 的 主 
要 因素 如 下 。 
。 传播 延迟 : 是 指 信号 在 物理 媒介 上 传输 所 需要 的 固有 时 延 ， 如 在 光纤 上 的 延迟 大 
约 为 5ms 每 1000km。 

。 链 路 速度 延迟 :数据 传送 的 速度 取决 于 链 路 的 比特 率 〈 速 率 )。 当 链 路 速度 低 于 
数据 发 送 速度 时 〈 如 一 个 100Mbps 的 以 太 网 仅 接 了 一 条 2Mbps 的 出 口 链 路 )， 便 
会 产生 链 路 速度 时 延 。 

。 交换 和 路 由 延迟 : 网 络 节点 转发 数据 包 的 时 间 。 对 于 路 由 器 ， 这 个 时 间 用 于 分 析 
数据 包头 ,查询 存储 的 状态 信息 ， 并 检查 路 由 表 ， 最 终 将 数据 包 转 发 到 输出 端口 。 
排队 延迟 : 由 于 卫 网 络 的 统计 复 用 和 数据 包 到 达 的 异步 特性 ， 在 节点 的 输入 和 
输出 端口 必然 要 依次 排队 ， 这 样 数据 包 才 能 发 送 到 相应 的 链 路 上 。 排 队 延 迟 取决 
于 队列 长 度 和 数据 包 在 端口 的 统计 分 布 。 

。 跳 数 : 数据 包 结 构 一 个 交换 节点 〈 路 由 器 ) 被 称 为 一 跳 (hop)， 网 络 传输 时 延 随 
着 跳 数 的 增长 而 增加 ， 因 此 减少 数据 包 传送 经 过 的 跳 数 ， 是 控制 时 延 的 主要 方法 
ee 
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4) 丢 包 率 

丢 包 率 是 指 他 包 在 网 络 节 点 之 间 传 输 时 丢失 的 他 包 数 与 已 发 送 的 他 包 总 数 的 比值 。 
当 网 络 拥塞 、 传 输 损 伤 、 超 过 生存 周期 (TIL) 时 ， 丢 包 就 可 能 发 生 。 

5) 延迟 抖动 

延迟 抖动 是 指 在 一 段 测量 时 间 间 隔 内 ， 最 大 IP 包 传输 时 延 与 最 小 了 P 包 传输 时 延 的 
差 值 。 由 于 卫 网 络 采 用 的 协议 是 面向 无 连接 的 ,因此 不 同 的 包 从 网 络 的 入 口 到 出 口 所 经 
过 的 路 由 可 能 不 同 ， 所 经 过 的 网 络 的 速率 可 能 不 同 。 网 络 中 的 节点 设备 采用 的 转发 决策 
或 拥塞 控制 机 制 不 同 ， 队 列 的 流量 随时 间 而 不 同 , 不 同 的 他 包 的 转发 有 可 能 不 同 ,因此 
节点 设备 对 人 P 包 的 处 理 时 间 不 同 。 当 他 包 从 网 络 入 口传 送 到 网 络 出 口 时 ， 便 会 造成 卫 
包 的 时 延 变化 ， 即 抖动 。 

上 述 服务 质量 衡量 指标 与 接口 带宽 、 网 络 设备 交换 能 力 等 资源 直接 相关 。 网 络 用 无 
限 的 带宽 资源 和 节点 交换 能 力 来 保证 分 组 层 服务 质量 ， 这 显然 是 不 可 能 的 。 但 是 有 普遍 
观点 认为 ， 即 使 没有 无 限 的 资源 ， 网 络 也 可 以 通过 其 他 方法 保证 服务 质量 。 正 如 传统 的 
电话 交换 网 ， 其 传输 电路 和 交换 能 力 都 有 限 ， 但 是 电话 业务 有 固定 的 业务 模型 和 可 以 预 
知 的 业务 流量 流向 ， 传 统 电 话 网 的 服务 质量 是 可 以 得 到 保障 的 。 

2. QoS 管理 

1) QoS 管理 模型 

目前 他 网 还 没有 标准 的 QoS 管理 模型 ， 只 有 两 个 很 好 的 参考 模型 。 

一 个 是 电信 管理 论坛 TMEF 提出 的 TOM (Telecom Operations Map) 模型 。TOM 在 
电信 管理 网 (TMN) 的 4 层 结构 基础 上 ， 对 每 个 管理 层面 的 功能 和 操作 进行 了 具体 的 描 
述 , 使 其 适合 卫 网 络 的 管理 。 在 这 个 模型 中 , IP QoS 管理 主要 在 业务 管理 层 实现 TOM 
还 将 业务 的 生命 周期 分 为 三 个 阶段 : 业务 开通 、 业 务 保障 和 业务 计 费 。 业 务 开通 将 用 户 
的 QoS 要 求 传送 到 网 络 中 ， 并 进行 相应 的 配置 ; 业务 保障 维护 协商 好 的 QoS, 是 IP QoS 
管理 的 主要 阶段 ; 业务 计 费 进行 公平 合理 的 计 费 。TOM 模型 最 有 可 能 成 为 运营 商 和 设备 
制造 商 提 供 QoS 业务 的 参考 标准 。 

另 一 个 模型 是 IETF 提出 的 基于 策略 的 管理 框架 。 这 个 框架 将 网 络 中 的 一 些 操作 和 
管理 抽象 出 来 ， 称 为 策略 〈policy)。 网 络 管理 者 事先 定义 好 一 些 管 理 策略 ， 存 放 到 策略 
信息 库 中 ， 网 络 设备 根据 这 些 策略 自动 地 进行 网 络 操作 。 由 于 策略 由 网 络 管理 者 统一 制 
定 ， 因 此 采用 不 同 QoS 技术 的 异 构 网 能 够 实现 统一 的 QoS 管理 。 

2) SLA 管理 

服务 等 级 协议 〈Service Level Agreement，SLA) 是 用 户 与 网 络 服务 提供 商 〈ISP) 
签订 的 关于 服务 质量 的 协议 。ISP 根据 SLA 来 对 用 户 提供 某 个 等 级 的 服务 和 计 费 。SLA 
分 为 静态 和 动态 两 种 。 静态 SLA 在 一 定 的 时 间 范 围 内 是 不 变 的 , 与 网 络 的 状况 (如 拥塞 
程度 、 负 荷 变化 〉 无 关 ; 动态 SLA 根据 网 络 的 状态 来 协商 和 调整 SLA 参数 ， 从 而 提高 
网 络 的 资源 利用 率 。 当 前 ， 大 部 分 网 络 仍 采用 静态 SLA， 而 动态 SLA 还 处 于 研究 阶段 。 

SLA 中 包括 一 个 或 多 个 流量 调节 协议 (Traffic Conditioning Agreement, TCA), SLA 
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和 TCA 都 属于 商业 上 的 协议 ， 它 们 的 技术 细节 分 别 由 服务 等 级 规范 (Service Level 
Specification，SLS) 和 流量 调节 规范 (Traffic Conditioning Specification，TCS) 来 表述 。 
目前 的 研究 主要 集中 在 SLS 和 TCS 的 内 容 定义 。SLA 的 建 模 和 标准 化 是 当前 研究 的 重 
要 问题 。 

3) QoS 资源 管理 

在 QoS 管理 过 程 中 ， 需 要 对 用 户 的 业务 进行 接纳 控制 。IntServ 可 以 通过 资源 预 留 
来 达到 这 一 目标 ， 但 是 DiffServ 还 不 能 实现 端 到 端的 资源 预 留 和 接纳 控制 。 为 了 解决 这 
个 问题 ， 出 现 了 带宽 代理 (Bandwidth Broker，BB)。 

BB 实际 上 就 是 一 个 资源 管理 器 ， 它 收集 网 络 的 拓扑 和 节点 及 链 路 状态 信息 ， 管 理 
网 络 资源 ， 并 结合 策略 服务 器 规定 的 策略 进行 接纳 控制 ，DiffServ 域 之 间 通 过 BB 进行 
SLA 协商 ， 使 DiffServ 能 够 实现 端 到 端的 接纳 控制 和 QoS 保障 。 当 前 ，BB 的 研究 是 实 
现 QoS 管理 的 又 一 个 重要 环节 。 

3. Qo5S 的 测量 

QoS 测量 是 一 个 新 的 研究 课题 ， 它 的 目的 是 用 测量 手段 取得 网 络 的 性 能 和 服务 质量 
指标 。 显 然 ， 网 络 的 QoS 控制 、 维 护 、 管 理 和 计 费 都 需要 QoS 测量 的 支持 。QoS 测量 
有 不 同 的 分 类 方法 ， 按 照 测量 过 程 中 测试 设备 是 否 主动 发 送 探测 包 ， 可 分 为 主动 测量 和 
被 动 测量 两 类 ; 按照 测试 设备 所 处 的 位 置 ， 又 可 分 为 基于 路 由 器 的 测量 、 端 到 端 测量 ， 
以 及 路 由 器 协助 的 测量 。Qos 测量 的 内 容 很 广泛 ， 包 括 网 络 拓扑 发 现 、 时 延 、 丢 包 率 、 
带宽 测量 ， 网 络 距离 测量 ， 路 由 器 调度 策略 和 瓶颈 缓冲 器 容量 测量 ， 以 及 路 由 器 流量 
监测 。 

QoS 测量 需要 复杂 的 技术 。 特 别 是 端 到 端 QoS 测量 ， 在 没有 路 由 器 参与 ， 两 端 设备 
时 钟 又 不 同步 的 情况 下 ， 利 用 信号 处 理 技术 和 数学 分 析 方 法 ， 可 以 推测 网 络 拓扑 ， 端 到 
端的 单 向 传输 时 延 、 链 路 时 延 、 链 路 带宽 、 路 径 上 的 瓶颈 带宽 及 可 用 带宽 ， 甚 至 还 可 以 
推测 网 络 中 路 由 器 的 调度 策略 和 缓冲 器 容量 。 端 到 端 QoS 测量 具有 特别 重要 的 意义 , 它 
可 以 测 出 网 络 的 整体 性 能 指标 ， 而 且 不 需要 对 路 由 器 进行 改造 ， 也 不 需要 网 络 运营 商 公 
开 内 部 资料 〈 如 网 络 拓扑 、 设 备 配 置 、 传 输 容 量 等 ) 。 

4. SLA、SLS、TCA 和 TCS 的 相互 关系 

当 乘 火车 时 , 乘客 需 购买 火车 票 , 铁道 部 门 提供 运输 服务 。 乘 客 除 了 要 指定 目的 地 、 
出 发 时 间 以 外 ， 还 要 指定 软卧 、 硬 卧 或 硬 坐等 座位 种 类 。 如 果 列 车 已 经 超载 ， 铁 道 部 门 
会 拒绝 乘客 搭乘 ( 接 入 控制 ), 甚至 乘客 携带 物品 的 种 类 、 大 小 、 重量、 个 数 也 有 限定 ( 流 
量 调节 )。 当 乘客 接受 列车 服务 时 ， 可 以 指定 服务 质量 ， 但 要 接受 携带 物品 的 限制 。 

同样 ， 对 于 网 络 服务 ， 使 用 者 可 以 指定 流 的 QoS， 为 了 接 入 其 服务 ， 流 的 特性 〈 速 
率 、 最 大 脉冲 长 度 等 ) 有 义务 保持 在 事先 约定 好 的 数值 以 下 。 也 就 是 说 , 对 于 QoS 服务 ， 
使 用 者 购买 的 数据 流 的 传输 负荷 与 网 络 经 营 者 提供 的 QoS 水 平 有 着 不 可 分 割 的 关系 。 

使 用 者 在 利用 网 络 服务 开始 之 前 ， 需 要 通知 网 络 所 希望 的 QoS 服务 水 平 。 网 络 在 拥 
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塞 时 有 可 能 会 拒绝 提供 服务 〈 接 入 控制 )。 在 使 用 网 络 服务 时 ， 每 次 使 用 者 投入 的 流量 、 
使 用 者 希望 的 QoS 服务 水 准 〈 这 两 者 一 起 叫做 流 规 格 说 明 ) 与 经 营 者 可 以 提供 的 QoS 
服务 相对 照 ， 通 信 经 营 者 与 使 用 者 必须 制定 一 个 两 者 都 同意 的 QoS 服务 等 级 。 

使 用 者 和 经 营 者 商量 好 的 内 容 就 叫做 QoS 服务 等 级 协议 SLA。SLA 的 内 容 包括 服务 方 
式 、 流 量规 格 、 使 用 费用 、 用 户 以 及 网 络 经 营 者 双方 没有 履行 合同 规定 时 的 惩罚 条 例 等 。 

在 SLA 中 技术 的 部 分 被 称 为 服务 等 级 规范 SLS。 流 量 调节 协议 TCA 是 指数 据 包 分 
类 准则 和 描述 业务 流 暂 时 特性 的 流 轮廓 〈 如 速率 和 突 发 数据 包 大 小 )。SLA 中 关于 流 的 
QoS 服务 等 级 及 其 流量 说 明 的 部 分 叫做 流量 调节 规范 TCS，TCS 是 TCA 的 技术 部 分 。 

SLA、SLS、TCA 和 TCS 的 相互 关系 如 图 1-138 所 示 。 其 中 , SLA 包括 TCA 和 SLS， 
SLS 包括 TCS，TCA 也 包括 TCS。 


SEA TCA 


| 


图 1-138 SLA、SLS、TCA 和 TCS 关系 


1.10.2 ”IP 网 络 QoS 技术 


现 有 的 Intermet 最 初 是 面向 非 实 时 的 、 单 种 数据 类 型 通信 (如 文件 传输 、E-mail) 设 
计 的 。IP 协议 提供 一 种 无 连接 的 网 络 层 ， 必 须 辅 以 其 他 高 层 端 到 端 协议 (如 TCP) 才能 
更 好 地 实现 端 到 端的 可 靠 传输 。 由 于 Internet 设计 时 没有 关注 QoS 控制 和 管理 技术 ， 所 
以 资源 完全 共享 ， 资 源 的 访问 和 使 用 没有 进行 有 效 的 控制 和 管理 ， 不 能 保证 网 络 按照 用 
户 所 需 的 质量 要 求 投递 。 由 于 缺少 必要 的 对 服务 质量 的 控制 和 保证 ， 这 种 传统 卫 传输 服 
务 被 称 为 尽力 而 为 型 服务 (best effort service) 。 

尽力 而 为 型 服务 无 法 给 传输 提供 好 的 服务 质量 保证 ， 于 是 IETF 借鉴 QoS 技术 ， 加 
强 实 现 资源 的 控制 和 调整 机 制 ， 使 得 网 络 能 够 支持 多 种 服务 ， 既 能 保证 有 服务 质量 需求 
者 的 服务 ， 又 能 为 原 有 的 尽力 而 为 型 服务 ， 为 此 提出 了 一 种 体系 综合 服务 体系 
(integrated service architecture) 。 其 主要 目的 是 在 基于 IP 的 网 络 中 提供 一 定 级 别 的 服务 
质量 。 在 IntServ 中 将 通信 业务 分 为 两 大 类 : 有 弹性 通信 业务 〈elastic traffic〉 和 无 弹性 
通信 业务 (non-elastic traffic ) 。 

有 弹性 的 通信 业务 能 够 忍受 延迟 、 流 速 的 变化 ， 它 是 一 种 自 适应 的 应 用 。 有 弹性 的 
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应 用 程序 能 够 动态 地 调整 其 对 网 络 的 使 用 ， 试 图 使 用 最 大 的 带宽 。 但 是 ， 当 网 络 明显 拥 
挤 时 ， 它 采用 退 避 算法 自 适 应 网 络 的 变化 。 目 前 Intemet 是 适合 有 弹性 的 通信 业务 的 。 

无 弹性 的 通信 业务 对 延迟 、 速 率 、 抖 动 和 丢失 率 都 十 分 敏感 。 无 弹性 的 应 用 程序 遵 
循 的 原则 是 : “要 么 给 我 有 服务 质量 的 网 络 ， 要 么 什么 都 不 给 ”。 交 互 式 语音 、 视 频 和 
实时 任务 是 无 弹性 通信 业务 的 典型 例子 ， 它 要 求 服务 质量 在 应 用 允许 的 范围 内 。 目 前 
Intemet 不 适应 无 弹性 通信 业务 ， 特 别 是 在 网 络 拥挤 时 。 


1.10.2.1 综合 服务 (IntServ) 体系 


1. IntServ 服务 质量 控制 的 组 件 
IntServ 的 目的 是 在 基于 IP 的 网 络 中 提供 服务 质量 。IntServ 力图 解决 在 网 络 发 生 拥 
塞 时 如 何 共享 可 用 的 网 络 容量 的 难度 。IntServ 使 用 具有 以 下 功能 的 服务 质量 控制 组 件 。 
。 接纳 控制 : 对 于 服务 质量 传输 (而 不 是 默认 作 尽 力 而 为 型 传输 ) ，IntServ 要 求 对 
一 个 新 的 流 要 进行 预 留 。 如 果 网 络 内 的 路 由 器 共同 认定 没有 足够 的 资源 来 保证 所 
请 求 的 服务 质量 ， 则 这 个 流 就 不 允许 进入 网 络 。 
。 路 由 选择 算法 : 可 以 基于 许多 不 同 的 服务 质量 参数 〈 而 不 仅仅 是 最 小 时 延 ) 来 决 
定 路 由 的 选择 。 例 如 ， 路 由 协议 为 OSPF 就 可 以 基于 QoS 来 选择 路 由 。 
。 调度 算法 : IntServ 的 一 个 重要 元 素 就 是 有 效 的 排队 和 调度 策略 ， 它 考虑 不 同 流 的 
不 同 需 求 。 
。 丢弃 策略 : 如 果 有 许多 数据 包 在 输出 端口 排队 ， 当 数据 包 使 用 完 缓冲 区 之 际 ， 在 
管理 拥塞 和 满足 QoS 保证 时 ， 数 据 包 的 丢弃 策略 就 是 服务 质量 一 个 重要 元 素 。 
IntServ 中 专门 使 用 服务 质量 控制 服务 (QoS control service) 这 一 术语 ， 它 是 指 网 络 
元 素 所 提供 的 服务 质量 控制 功能 协同 工作 的 集合 ， 其 中 网 络 元 素 包 括 路 由 设备 和 端 
节点 。 
2. IntSery QoS 组 件 在 路 由 器 上 的 实现 
在 RFC 1633 规范 中 指出 了 IntServ 整体 解决 方案 。 图 1-139 是 一 个 路 由 器 的 IntServ 
实现 体系 结构 ， 包 括 6 个 组 件 ， 在 粗 的 水 平 线 下 面 是 路 由 器 的 转发 功能 ， 这 对 每 个 数据 
包 都 要 执行 ， 因 此 必须 很 好 地 进行 优化 。 在 水 平 线 以 上 的 一 些 功 能 是 背景 功能 ， 用 来 产 
生 转 发 功能 所 使 用 的 一 些 数据 结构 。 
。 资源 预 留 协议 RSVP (RFC2205) : 它 是 Intermet 上 的 信 令 协议 。 通 过 RSVP， 用 
户 可 以 给 每 个 业务 流 或 连接 申请 资源 预 留 ， 要 预 留 的 资源 可 能 包括 缓冲 区 及 带宽 
的 大 小 。 这 种 预 留 需要 对 路 径 上 的 每 一 跳 都 要 进行 ， 这 样 才能 提供 端 到 端的 QoS 
保证 。RSVP 是 单 向 的 预 留 ， 适 用 于 点 到 点 及 一 点 到 多 点 的 通信 环境 。 
。 接纳 控制 : 当 一 个 新 的 流 请 求 时 ， 预 留 协议 就 调用 接纳 控制 模块 。 这 个 功能 模块 
要 判断 对 这 个 流 所 请 求 的 QoS 是 否 有 足够 的 资源 可 提供 , 这 个 判断 是 根据 当前 已 
对 其 他 预 留 的 承诺 及 网 络 的 当前 状况 而 做 出 的 。 
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QoS 排队 
尽力 而 为 排队 


图 1-139 路 由 器 中 实现 的 IntServ 体系 结构 


。 管理 代理 : 网 络 的 管理 代理 ， 能 监督 接纳 控制 模块 ， 并 且 设 置 接纳 控制 的 策略 ; 
同时 它 能 够 修改 通信 量 控制 数据 库 ， 以 影响 队列 调度 和 分 组 丢弃 。 

。 路 由 选择 协议 和 路 由 选择 数据 库 : 通过 对 卫 数据 包 分 类 ， 路 由 算法 可 以 根据 卫 
数据 包 的 类 型 、 最 小 代价 及 其 他 服务 质量 参数 进行 路 由 选择 ， 同 时 此 路 由 还 维护 
一 个 路 由 数据 库 ， 它 对 每 个 目的 地 址 和 每 个 流 都 给 出 应 到 达 的 下 一 跳 。 

。 分 类 器 : 根据 预 置 的 一 些 规则 ， 它 对 进入 路 由 器 的 每 一 个 分 组 进行 分 类 。 这 可 能 

需要 查看 卫 分 组 里 的 某 些 域 : IP 源 地 址 、IP 目的 地 址 、 上 层 协 议 类 型 、 源 端口 

号 、 目 的 端口 号 ; 分 组 经 过 分 类 以 后 被 放 到 不 同 的 队列 中 等 待 接 收服 务 。 这 个 

功能 决定 此 分 组 的 下 一 跳 地 址 。 

分 组 调度 器 和 分 组 丢弃 功能 : 分 组 调度 器 主要 是 基于 一 定 的 调度 算法 对 分 类 后 的 

分 组 队列 进行 调度 服务 。 它 决定 排队 的 分 组 发 送 顺 序 ， 当 网 络 发 生 拥塞 时 应 丢弃 

哪些 分 组 。 做 出 决定 要 基于 分 组 的 类 ， 通 信 量 控制 中 的 内 容 以 及 输出 端口 过 去 和 

现在 的 活动 情况 。 分 组 调度 器 的 部 分 任务 是 监管 ， 这 种 功能 判断 是 否 在 一 个 给 定 

的 流 中 分 组 的 通信 量 已 超过 了 所 请 求 的 容量 。 如 果 是 这 样 ， 则 应 决定 如 何 处 理 这 

些 超 量 的 分 组 。 

3. IntServ 的 服务 分 类 

在 IntServ 中 定义 了 三 种 服务 类 型 : QoS 保证 服务 型 《Guaranteed Service，GS)、 受 控 


负载 服务 型 Control Load Service, CLS) 和 尽力 而 为 服务 型 (Best Effort Service, BES) 。 


。 保证 服务 型 (RFC 2212) : 这 种 服务 等 级 提供 明确 的 参数 级 别 ， 有 排队 延迟 上 界 、 
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绝对 不 会 因为 排队 而 丢失 数据 包 。GS 提供 设 定 延 时 的 确定 带宽 ， 不 会 因为 网 络 
拥塞 而 丢失 数据 包 。 虽 然 它 类 似 ATM 的 CBR 业务 ， 但 是 它们 是 有 区 别 的 。GS 
即使 通过 调整 整体 服务 速率 、 排 队 延 迟 也 仅 在 一 定 程度 上 受 控 ， 同 时 仍然 无 法 使 
整体 的 延迟 抖动 最 小 化 ，GS 保证 数据 不 丢失 ， 这 一 点 不 同 于 ATM; GS 适合 于 
实时 任务 ， 它 们 要 求 数据 报 在 有 保证 的 时 间 内 投递 到 目的 地 ， 不 会 因为 队列 溢出 
而 丢失 数据 包 。 

受 控 负载 服务 型 (RFC 2211) : 这 种 服务 等 级 在 不 拥挤 且 负 载 较 轻 的 网 络 中 提供 
近 于 尽力 而 为 型 服务 。 与 GS 不 同 ， 它 不 能 对 排队 延迟 设置 上 界 ， 也 不 能 保证 不 
会 因为 排队 而 丢弃 数据 包 。 这 种 服务 意味 着 对 大 部 分 业务 量 都 能 够 成 功 地 传递 ， 
而 且 还 可 以 用 于 能 适应 网 络 状况 波动 的 实时 应 用 程序 。CLS 不 会 对 有 保证 的 服务 
或 尽力 而 为 的 服务 产生 影响 。 

尽力 而 为 服务 型 : 这 种 服务 等 级 不 提供 任何 保证 。 这 就 是 目前 Intemet 所 提供 的 
服务 。 当 网 络 比较 宽松 时 ， 用 户 能 获得 较 好 的 服务 ; 然而 ， 当 网 络 拥挤 时 ， 用 户 
所 获得 的 服务 也 随 之 下 降 。 

4. IntServ 的 服务 资源 预 留 协议 (RSVP) 

IntServ 中 定义 RSVP 为 其 QoS 信 令 。 通 过 RSVP, 用 户 可 以 给 每 个 业务 流 申请 资源 
预 留 ， 要 预 留 的 资源 可 以 包括 缓冲 区 及 带宽 的 大 小 。 这 种 预 留 需要 在 路 径 上 的 每 一 跳 都 
进行 ， 这 样 才能 提供 端 到 端的 QoS 保证 。 

利用 资源 预 留 可 以 使 路 由 器 能 够 提前 决定 是 否 有 能 力 满足 传输 该 协议 ， 为 每 个 流 预 
先 申请 要 求 的 网 络 资源 , 在 他 分 组 从 源 端 到 接收 端 之 间 所 要 经 过 的 每 一 个 路 由 器 上 为 每 
个 流 申请 所 需要 的 带宽 、 缓 冲 区 等 资源 ， 路 由 器 必须 为 每 个 流 保持 所 需要 的 “ 软 状态 ” 
所 谓 软 状 态 是 进行 资源 预 留 时 周期 性 控制 的 临时 状态 , 它 包 括 有 关 该 流 的 源 、 目 的 地 址 、 
路 由 信息 、 需 占用 该 路 由 器 的 资源 信息 等 ， 它 不 需要 明确 的 删除 请 求 ， 而 由 周期 性 的 
RSVP 消息 刷新 。IntServ 利用 RSVP 协议 提供 端 到 端的 信 令 控制 ， 以 使 无 连接 的 Internet 
网 对 于 某 些 业务 (实时 业务 ) 变 成 有 连接 的 网 络 。RSVP 提供 不 同 的 预 留 模式 ， 以 允许 
应 用 选择 不 同 的 资源 预 留 的 合并 方式 。 

在 RSVP 协议 的 机 制 中 ， 设 计 了 两 个 基本 报 文 类 型 : Resv〈 预 留 ) 和 Path 路径)。 
Resv 报 文 是 多 播 组 的 接收 者 发 出 的 ， 沿 着 分 发 树 向 上 游 传播 ， 在 传播 路 径 的 节点 上 会 根 
据 需要 进行 合并 和 组 装 。 这 些 报 文 在 分 发 树 上 的 路 由 器 中 创建 了 软 状 态 ， 而 分 发 树 就 反 
映 了 为 本 次 会 话 ( 对 应 于 一 个 多 播 地 址 ) 所 预 留 的 资源 。 最 后 ， 合 并 了 的 Resv 报 文 到 达 
发 送 主 机 ， 使 得 主机 能 够 为 第 一 跳 的 传输 设置 恰当 的 流量 控制 参数 。 

由 于 Resv 报 文 必须 向 上 游 传播 ， 经 过 所 有 中 间 路 由 器 ， 最 终 到 达 所 有 的 发 送 主机 。 
然而 路 由 选择 协议 缺少 反 向 路 由 信息 ,因此 RSVP 引入 了 Path 报 文 。 作 为 发 送 者 参加 多 
播 组 的 所 有 主机 都 要 发 出 Path 报 文 ， 经 由 分 发 树 传输 到 所 有 的 多 播 终 点 。Path 和 Resv 
报 文 的 转发 如 图 1-140 所 示 。 
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所 一 > 表示 RESV 报 文 


图 1-140 PATH 和 RESYV 报 文 的 工作 原理 


RSVP 协议 资源 预 留 过 程 如 下 : 

Q@ 发 送 数据 的 源 端 确定 发 送 数据 流 所 需 的 带宽 、 延 迟 和 延迟 抖动 等 指标 ， 并 将 其 
包含 在 PATH 分 组 中 发 给 接收 端 。 

@ 在 网 络 中 的 某 一 路 由 器 接收 到 PATH 分 组 时 , 它 将 PATH 分 组 中 的 路 径 状态 信息 
存储 起 来 ， 该 路 径 状 态 信息 描 述 了 PATH 分 组 的 上 一 级 源 地 址 〈 即 发 来 该 分 组 的 上 一 跳 
路 由 器 地 址 )。 

@@ 当 接 收 端 收 到 PATH 分 组 之 后 , 它 沿 着 与 PATH 分 组 中 获取 的 源 路 径 相 反 的 方向 
发 送 一 个 RESV 分 组 。 该 RESV 分 组 包含 为 数据 流 进 行 资源 预 留 所 需要 描述 的 流量 和 性 
能 期 望 等 QoS 信息 。 

图 当 某 一 路 由 器 接收 到 一 个 RESV 分 组 时 ， 它 通过 接纳 控制 来 决定 是 否 有 足够 的 
资源 满足 QoS 请 求 。 如 果 有 ， 就 进行 带宽 和 缓冲 区 空间 的 预 留 ， 并 且 存 储 一 些 与 数据 流 
相关 的 特定 信息 , 然后 将 RESV 分 组 转发 给 下 一 个 路 由 器 ; 如 果 路 由 器 必须 拒绝 该 请 求 ， 
则 它 返回 给 接收 端 一 个 错误 信息 。 
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。 如 果 源 端 接收 到 RESV 分 组 ， 则 表明 数据 流 的 资源 预 留 已 经 成 功 ， 可 以 开始 向 接 
收 端 发 送 数据 。 

。 当 数 据 流 发 送 完毕 ， 路 由 器 可 以 释放 先前 设置 的 预 留 资源 。 

$5. IntServ 体系 结构 的 进一步 探索 

IntServ 能 为 用 户 提供 QoS 保证 ， 但 在 具体 的 实现 中 还 存在 扩展 性 较 差 的 缺点 ， 因 
为 其 工作 方式 是 基于 每 个 流 的 情况 ， 这 就 需要 在 路 由 器 中 维护 保存 大 量 的 与 分 组 队列 数 
成 正比 的 状态 信息 。 此 外 ，RSVP 的 有 效 实施 必须 依赖 于 分 组 所 经 过 的 路 径 上 的 每 个 路 
由 器 。 在 骨干 网 上 ， 业 务 流 的 数目 可 能 会 很 大 ， 同 时 它 还 要 求 路 由 器 的 转发 速率 很 高 ， 
这 使 得 IntServ 难以 在 骨干 网 上 得 到 实施 .为 了 解决 ntServ 的 一 些 缺 点 ,IETF 在 RFC 2475 
中 提出 了 区 分 服务 体系 。 区 分 服务 体系 旨 在 定义 一 种 既 能 实施 了 QoS 又 能 更 容易 扩展 的 
方式 ， 以 解决 mtServ 所 存在 的 缺点 。 

虽然 mtServ 体系 结构 中 存在 以 上 缺点 ， 但 是 它 相 对 于 DiffServ 而 言 ， 属 于 细 粒 度 
QoS 控制 ， 即 可 以 为 高 层 用 户 提供 较为 准确 的 带宽 、 延 迟 、 延 迟 抖 动 和 丢失 率 控 制 ， 而 
DiffServ 属于 粗 粒度 QoS 控制 ， 无 法 为 高 层 用 户 提供 精确 的 QoS 控制 ， 所 以 IntServ 仍 
有 其 存在 的 生命 力 。 目 前 ， 比 较 一 致 的 看 法 是 在 企业 网 的 边缘 实施 IntServ， 而 在 企业 的 
骨干 网 络 中 使 用 DiffServ。 

以 IP 技术 为 基础 的 Intemet 正 朝 着 宽带 化 、 服 务 综合 化 方向 发 展 ， 而 作为 合格 的 宽 
带 综合 服务 数字 网 络 必须 要 能 满足 不 同业 务 的 服务 质量 要 求 。 为 此 ， 未 来 值得 探索 的 方 
向 如 下 。 

1) 队列 管理 机 制 (queue management mechanism) 

在 网 络 发 生 拥塞 时 ， 路 由 器 必须 丢弃 一 些 分 组 ， 这 个 问题 的 解决 首先 必须 实施 有 效 
的 队列 管理 机 制 〈 或 缓冲 区 管理 策略 ) 。 

目前 , 己 经 出 现 的 队列 管理 机 制 有 PPD (Partial Packet Discard) 、EPD (Early Packet 
Discard) 、RED (Random Early Discard) 、 FRED (Flow RED) 、 RIO (RED with In and 
Out) 等 算法 。 比 较 起 来 ，RED 算法 具有 较 低 的 排队 时 延 、 较 高 的 分 组 通过 率 和 较 好 的 
公平 性 ， 其 主要 思想 是 : 路 由 器 计算 平均 排队 长 度 ， 当 平均 排队 长 度 超过 某 一 门限 时 ， 
路 由 器 按照 一 丢弃 概率 丢弃 到 达 的 分 组 ， 而 这 个 丢弃 概率 是 与 平均 排队 长 度 成 正比 的 函 
数 。RED 算法 允许 短 时 的 分 组 突 发 ， 因 而 可 以 避免 因为 网 络 负荷 变化 造成 的 分 组 丢弃 ; 
RED 能 避免 多 个 TCP 连接 同时 的 超时 重 传 ， 从 而 保持 高 的 带宽 利用 率 ;， 此 外 ，RED 算 
法 还 能 较 好 地 支持 突 发 业务 ， 且 确定 哪些 连接 使 用 了 更 多 的 带宽 ， 并 可 以 采取 措施 予以 
惩罚 。FRED 和 RIO 都 是 对 RED 的 改进 或 变种 ，FRED 对 每 一 个 业务 流 〈 或 连接 ) 都 实 
施 单 独 的 一 个 RED 算法 ， 这 样 能 保证 更 好 的 公平 性 ，RIO 在 RED 基础 上 又 增加 了 一 个 
门限 值 。 

2) 队列 调度 机 制 〈queuing scheduling mechanism ) 

不 论 在 IntServ 还 是 在 DiffServ 里 ， 都 涉及 队列 调度 问题 。 简 言 之 ， 队 列 调度 的 功能 
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就 是 路 由 器 如 何 从 一 个 或 多 个 队列 中 选择 下 一 个 将 转发 的 分 组 ， 这 与 队列 管理 机 制 有 着 
本 质 的 区 别 。 一 个 有 效 的 队列 调度 算法 应 达到 的 性 能 指标 主要 有 公平 性 、 时 延 特性 、 对 
恶意 业务 流 的 隔离 能 力 、 链 路 带宽 的 利用 率 、 复 杂 性 等 。 前 4 个 指标 与 QoS 密切 相关 。 
目前 主要 有 Weighted RR、Deficit RR、 加 权 公 平 排队 (WFQ)、 自 时 钟 公 平 排队 (SCFQ) 、 
VC (Virtual Clock) 等 算法 。 

在 队列 调度 算法 研究 中 ， 如 何 提 供 较 好 的 公平 性 、 时 延 特性 ， 同 时 算法 复杂 度 较 低 
且 易 于 实现 的 特性 成 为 人 们 关心 的 焦点 。 

3) 基于 QoS 约束 的 路 由 《constrained-based routing) 

基于 约束 的 路 由 (CBR) 源 自 QoS Routing， 只 是 对 QoS 的 限制 参数 进行 了 一 定 的 
扩充 。 基 于 约束 的 路 由 的 有 效 实 现 需 要 各 个 路 由 器 之 间 的 相互 配合 ， 比 如 相互 通知 各 自 
所 知道 的 网 络 的 一 些 状态 信息 (如 链 路 的 剩余 带宽 ) 。 其 难点 在 于 : 如 何在 状态 信息 的 
精确 发 布 和 发 布 频率 之 间 取 得 一 个 折 中 。 因 为 链 路 的 剩余 带宽 在 不 断 的 变化 ， 基 于 约束 
的 路 由 既 要 避免 状态 信息 发 布 的 滞后 性 ， 又 要 避免 不 停 地 频繁 发 布 状态 信息 。 基 于 QoS 
约束 的 路 由 的 有 效 实现 还 有 待 进一步 研究 。 


1.10.2.2 ”区 分 服务 体系 


1. 区 分 服务 (DiffServ) 

综合 服务 (IntServ) 体系 和 了 RSVP 的 设计 目标 是 在 因特网 和 专用 互联 网 上 支持 QoS 
功能 。 虽然 mtServ， 尤 其 是 RSVP 对 于 完成 这 样 的 目标 都 是 有 用 的 ， 但 这 个 功能 的 实施 
却 很 困难 。 另外, 它们 不 容易 进行 规模 扩展 以 支持 较 大 的 通信 量 , 因为 用 来 进行 综合 QoS 
支持 协调 的 控制 信 令 的 数量 很 大 ， 而 且 在 路 由 器 上 维护 状态 信息 。 

随 着 因特网 负担 的 加 重 以 及 应 用 种 类 的 增多 ， 对 于 不 同 的 通信 流 提供 不 同 水 平 的 
QoS 是 一 个 紧迫 的 需求 。 区 分 服务 体系 结构 (RFC 2475 ) 的 设计 目标 是 提供 一 种 简单 的 、 
容易 实现 并 且 是 低 成 本 的 工具 来 支持 一 系列 的 网 络 服 务 ， 这 些 服务 在 性 能 的 基础 上 有 所 
区 分 。 

DiffServ 其 实现 途径 如 下 : 

。 简化 网 络 内 部 节点 的 服务 机 制 。 在 内 部 节点 只 进行 简单 的 调度 转发 ， 而 流 状 态 信 

息 的 保存 与 流 监控 机 制 的 实现 等 只 在 边界 节点 进行 时 ， 内 部 节点 是 与 状态 无 
关 的 。 

。 简化 网 络 内 部 节点 的 服务 对 象 。 采 用 聚集 传输 控制 ， 服 务 对 象 是 流 聚 集 (stream 

aggregate) 而 非 单 流 ， 单 流 信息 只 在 网 络 边界 处 保存 和 处 理 。 

具体 而 言 ， 边 界 节 点 根据 用 户 对 流 的 轮廓 描述 和 资源 预 留 信息 将 进入 网 络 的 单 流 分 
类 、 聚 合 为 不 同 的 流 聚 集 , 这 种 聚集 信息 存储 在 每 个 卫 包头 的 DSCDifferentiated Service) 
标识 域 中 ， 称 为 DiffServ 码 点 (Differentiated Service Code Point，DSCP)。 内 部 节点 在 
调度 转发 PP 包 时 根据 包头 的 DSCP 选择 提供 特定 质量 的 调度 转发 服务 , 其 特性 称 为 逐 跳 
行为 (Per-Hop-Behavior，PHB)。 网 络 边界 对 单 流 作 分 类 聚合 和 网 络 内 部 对 聚集 流 提供 
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特定 质量 的 调度 转发 服务 ， 这 两 个 过 程 是 依靠 卫 包头 内 的 DSCP 联系 起 来 的 。 

除了 实现 简单 外 ， 区 分 服务 体系 还 具有 以 下 特点 : 

。 层次 化 结构 。 分 为 DS 域 (DS domain) 与 DS 区 (DS region) 两 级 。 在 DS 域 
内 ， 服 务 提供 策略 以 及 PHB 的 语义 和 实现 要 一 致 , 但 DS 区 内 的 各 DS 域 可 以 支 
持 不 同 的 PHB， 有 不 同 的 服务 提供 策略 ， 它 们 之 间 通 过 服务 等 级 协议 SLA 与 流 
量 调节 协议 TCA 协调 提供 跨 域 服 务 。 这 种 结构 适应 了 Intemet 中 由 各 ISP 提供 接 
入 服务 的 商业 模式 。 
总 体 集中 控制 策略 (与 IntServ 分 布 式 控制 相对 照 )。 网 络 资源 的 分 配 由 总 体 服 务 
提供 策略 决定 ， 包 括 在 边界 如 何 分 类 聚合 流 ， 在 内 部 如 何 调度 转发 流 聚 集 。 
利用 面向 对 象 的 模块 化 思想 与 封装 思想 ， 增 强 了 灵活 性 与 通用 性 。 各 逻辑 模块 相 
对 独立 ， 并 有 多 种 组 合 。 少 量 模块 可 组 合 实现 多 种 服务 ， 并 在 发 展 过 程 中 保持 模 
块 的 可 重用 性 。 例 如 ， 服 务 类 型 与 边界 调节 器 〈conditioner) 和 内 部 PHB 相对 独 
立 ， 使 得 较 少 种 类 的 边界 调节 器 和 内 部 PHB 可 进行 各 种 不 同 的 组 合 而 实现 多 种 
服务 类 型 。 再 如 ，PHB 与 其 具体 实现 机 制 相 分 离 ， 使 PHB 可 以 在 发 展 中 保持 相 
对 的 稳定 ， 这 给 商家 留 下 了 施展 的 天 地 。 
不 影响 路 由 。 与 一 些 以 虚 电 路 方式 实现 QoS 的 方案 (AIM，MPLS) 以 及 服务 类 
型 标记 方案 不 同 ， 区 分 服务 节点 处 提供 服务 的 手段 仅 限于 队列 调度 与 缓冲 管理 ， 
不 涉及 路 由 选择 机 制 。 
2. DiffServ 体系 结构 
区 分 服务 体系 结构 的 框架 如 图 1-141 所 示 。 


区 域 边界 路 由 器 执行 传输 分 类 、 人 部 路 由 器 通过 pe 
整形 和 调度 和 缓冲 区 管理 ”区域 出 口 路 由 器 对 流出 域 的 
人 实现 PHB 加 流 进行 调节 满足 下 一 个 域 的 TCA 


满足 TCA 规 范 


= 


非 DiffServ 区 网 络 


国 -Fir# 图 -mi 人 


1-141 区 分 服务 体系 结构 框图 


1) DS 域 与 DS 区 
一 个 DS 域 由 一 组 连续 的 路 由 器 组 成 ， 即 从 该 域 中 的 任何 路 由 器 到 该 域 的 任何 其 他 
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一 个 路 由 器 都 有 一 条 不 包括 域外 路 由 器 的 路 径 。 在 一 个 域内 ， 对 DS 码 点 的 解释 是 相同 
的 , 因此 可 以 提供 相同 的 和 一 致 的 服务 并 实现 一 致 的 PHB 组 . DS 域 有 明确 定义 的 边界 ， 
边界 由 边界 节点 〈boundary mode) 构成 。 边 界 节点 连通 DS 域 和 非 DS 域 (或 其 他 DS 
域 )， 其 主要 功能 是 : 实现 传输 的 分 类 〈classify) 和 调节 〈condition) 机 制 〈 逻 辑 上 表现 
为 分 类 器 与 调节 器 ); 保存 流 ( 单 流 或 聚集 流 ) 的 状态 信息 ; 根据 预定 的 流 规格 对 进入 (或 
离开 ) 域 的 流 进 行 调 节 ， 包 括 测量 Cmetering)、 标 记 (marking)、 整 形 (shaping)、 丢 弃 
(dropping) 几 个 动作 , 使 输入 流 (或 输出 流 ) 符合 预先 规定 的 TCA, 并 在 包头 标记 DSCP 
值 ， 进 行 分 类 且 归 入 行为 聚集 (behavior aggregate)。 需 要 注意 的 是 ， 边 界 节点 上 也 要 实 
现 PHB。 

针对 特定 的 流 ， 边 界 节 点 又 分 为 入 口 节点 和 出 口 节点 。 入 口 节点 必须 对 入 域 流 进行 
调节 ， 从 而 确保 其 符合 本 域 的 TCA 规范 ， 出 口 节点 可 能 对 出 域 流 进行 调节 ， 从 而 保证 
其 符合 下 游 DS 域 所 规定 的 TCA。 

在 内 部 节点 上 实现 一 组 或 若干 组 PHB。 处 理 人 P 包 时 根据 包头 的 DSCP 值 选 择 特定 
的 调度 转发 行为 。 这 一 过 程 是 多 对 一 的 映射 (函数 ), 即 每 个 DSCP 值 只 能 对 应 一 个 PHB， 
多 个 DSCP 可 能 对 应 同一 PHB。 这 种 映射 关系 在 一 个 DS 域内 应 保持 一 致 。 内 部 节点 的 
处 理 对 象 是 流 聚 集 ， 数 量 有 限 ， 因 而 处 理 的 时 间 与 空间 复杂 度 低 。 一 般 DS 域 由 毗邻 的 
属于 同一 网 络 管理 机 构 的 网 络 构 成 ， 如 某 个 ISP 的 网 络 或 者 内 部 网 。 

连续 的 DS 域 构成 DS 区 ， 区 内 支持 跨越 若干 域 的 区 分 服务 。 区 内 的 各 域 可 能 支持 
不 同 的 PHB 组 ， 并 且 各 个 域 的 DSCP 到 PHB 的 映射 函数 也 可 能 不 同 ; 如 果 有 不 同 DS 
域 ， 则 域 之 间 必 须 有 SLA 与 TCA 定义 着 域 间 的 调节 规则 ， 协 调 彼此 的 服务 语义 。 域 间 
边界 节点 分 别 对 出 域 流 与 入 域 流 进行 调节 ， 以 保证 其 符合 SLA 与 TCA 的 规定 。 

2) 区 分 服务 标记 域 与 区 分 服务 码 点 DSCP 

IP 包头 的 区 分 服务 标记 域 (DS field) 是 DS 域 的 边界 节点 与 内 部 节点 间 传 递 流 聚集 
信息 的 媒介 ， 是 连接 边界 的 传输 分 类 和 调节 机 制 与 内 部 PHB 的 桥梁 。DS 标记 域 定义 为 
原 IPv4 包头 的 TOS 字 节 或 IPv6 包头 的 流 类 型 字 节 (traffic class octet) 的 前 6 位， 如 图 
1-142 所 示 。CU 未 在 区 分 服务 体系 中 定义 。DSCP 是 区 分 服务 标记 域 中 的 具体 值 ， 用 来 
标识 数据 包 所 属 的 流 聚 集 , 供 数 据 包 经 过 DS 节点 时 选择 特定 的 PHB。DS 节点 上 DSCP 
到 PHB 的 映射 在 具体 实现 中 必须 是 可 配置 的 。 定 义 PHB 时 ， 应 同时 指定 对 应 DSCP 的 
推荐 值 。 


位 0 5， 涛 到 


1-142 人 P 包 头 的 区 分 服务 标记 域 
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3) 边界 节点 的 传输 分 类 与 调节 机 制 

边界 节点 要 根据 TCA 对 入 域 〈 或 出 域 ) 流 进 行 分 类 和 调节 ， 以 保证 输入 《或 输出 ) 
流 满 足 TCA 中 规定 的 规范 ， 并 将 其 归 入 某 个 行为 聚集 、 标 记 相 应 的 DSCP 值 。 逻 辑 上 
分 为 分 类 器 (classifier) 与 调节 器 〈conditioner) 两 个 模块 ， 如 图 1-143 所 示 ， 其 各 部 分 
含义 如 下 。 


图 1-143 ”边界 节点 分 类 和 调节 逻辑 框图 


。 分 类 器 : 遵照 TCA 中 的 特定 规则 ， 根 据 包头 的 某 些 域 (如 DSCP 值 ) 将 包 划 归 
某 一 类 别 ， 然 后 交 由 相应 的 调节 器 进一步 处 理 。 调 节 器 在 逻辑 上 分 为 测量 器 、 标 
记 器 、 整 形 器 和 丢 包 器 。 
测量 器 : 测量 提交 的 通信 量 以 验证 它 是 否 符合 TCA 的 流 规范 。 测 量 器 要 判断 给 
定 的 分 组 流 类 是 否 处 在 或 者 超出 了 为 该 类 保证 的 服务 。 同 时 将 统计 信息 传 给 标记 
器 、 整 形 器 和 丢 包 器 。 
。 标记 器 : 在 包头 的 DS 标记 域 中 标记 适当 的 DSCP， 即 将 分 组 划 入 某 个 行为 聚集 。 
标记 器 可 以 将 经 过 分 类 器 分 类 后 交 给 它 处 理 的 所 有 分 组 标记 为 同一 DSCP 值 ， 也 
可 以 根据 测量 器 的 统计 信息 将 其 标 为 同一 PHB 组 内 不 同 PHB 所 对 应 的 DSCP 值 
〈 例 如 ， 确 保 服务 )。 
。 整形 器 : 监管 通信 量 ， 其 方式 是 按照 需要 延迟 分 组 以 便 给 定 类 别 中 的 分 组 流 不 超 
过 该 类 TCA 的 流 规范 要 指明 的 通信 量 速率 。 
。 丢弃 器 : 通过 丢弃 手段 强制 入 流 (或 出 流 ) 符合 TCA 的 流 规 范 。 
调节 器 的 实现 技术 比较 成 熟 ， 只 要 用 令 牌 桶 (token bucket)、 漏 斗 桶 (leaky bucket) 
等 算法 适当 组 合 即 可 。 通 用 调节 器 可 以 通过 合理 设置 参数 来 实现 优质 服务 (Premium 
Service，PS)、 确 保 服务 (Assured Service，AS) 等 服务 需要 的 调节 器 。 当 然 ， 某 种 服务 
所 需要 的 特定 调节 器 也 可 以 单独 实现 ， 其 优点 在 于 简单 有 效 。 如 PS 用 令 牌 桶 做 整形 、 
丢弃 ，AS 也 可 以 用 层次 化 的 测量 器 与 标记 器 实现 。 总 之 ， 调 节 器 的 实现 形式 是 多 种 多 
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样 的 。 

4) 逐 跳 行为 (PHB) 

作为 DS 标准 化 工作 的 一 部 分 , 需要 定义 特定 类 型 的 PHB 与 特定 的 区 分 服务 相 联系 ， 
目前 已 标准 化 的 PHB 有 加 速 转发 型 (Expedited Forwarding，EF)、 确 保 转发 型 (Assured 
Forwarding，AF)、 尽 力 而 为 型 (Best Effort，BE) 以 及 兼容 卫 优先 级 的 类 选择 型 (Class 
Selector，CS) 4 种。 此 外 ， 准 尽力 而 为 型 (Lower than Best Effort，LBE)、 人 允许 丢失 的 
加 速 转发 型 (Expedited Forwarding with Dropping,EFD ) 以 及 协同 PHB 组 (Interoperability 
PHB group，PHB-I) 也 正在 讨论 发 展 中 。 

3. 区 分 服务 的 服务 类 型 

自 区 分 服务 概念 出 现 以 来 ， 优 质 服 务 (PS ) 与 确保 服务 (AS) 是 讨论 最 为 集中 的 两 
种 典型 服务 。 最 初 分 别 由 Van Jacobson 和 David D.Clark 提出 ， 正 是 对 这 两 种 服务 的 深入 
讨论 导致 了 EF 与 AF 的 产生 。 

1) 优质 服务 

优质 服务 为 用 户 提供 低 延 迟 、 低 抖动 、 低 丢失 率 、 保 证 带宽 的 端 到 端 〈 网 络 边界 到 
边界 ) 的 传输 服务 ， 是 目前 所 定义 的 服务 级 别 最 高 的 区 分 服务 种 类 。“ 三 低 一 保证 ”的 服 
务 承诺 使 得 用 户 可 以 享受 类 似 专线 的 服务 质量 ， 因 而 优质 服务 也 称 为 “虚拟 专线 ”服务 。 
由 于 PS 的 服务 承诺 针对 用 户 流 的 最 高 速率 ， 资 源 预 留 量 也 根据 最 高 速率 计算 ， 因 而 为 
PS 所 付出 的 代价 也 最 昂贵 。 但 PS 并 非 要 取代 传统 的 BE 服务 ， 而 是 与 之 共存 以 提高 网 
络 资源 的 利用 率 ， 因 为 PS 没有 用 尽 的 带宽 可 以 分 配给 其 他 的 流 (如 BE) 使 用 。 实 际 上 ， 
PS 流 只 会 占据 很 小 一 部 分 资源 。 最 终结 果 是 ，ISP 的 收入 提高 了 ， 资 源 也 不 会 闲置 。 

由 于 延迟 、 抖 动 、 丢 失主 要 由 于 分 组 在 传送 路 途中 排队 所 致 ， 因 而 “三 低 一 保证 ” 
实际 上 意味 着 传输 流 在 传送 路 途中 几乎 不 排队 。 而 在 路 由 器 处 出 现 排队 的 原因 是 在 某 些 
较 短 时 间 段 内 分 组 的 入 速率 超过 出 速率 ( 即 请 求 速 率 超过 处 理 速率 )。 因 此 , 最 终结 论 是 : 
任何 时 刻 , 在 PS 流传 送 道路 上 的 任何 节点 处 都 要 保证 :“PS 分 组 的 入 速率 小 于 出 速率 ” 
或 更 进一步 ,“ 总 体 上 的 最 大 入 速率 要 小 于 最 小 出 速率 ”。 因 此 ， 提 供 这 种 服务 要 确保 两 点 : 

。 在 传送 节点 处 保证 PS 流 有 “良好 定义 ”的 最 小 出 速率 。“ 良 好 定义 ” 意 为 最 小 出 

速率 不 依赖 于 节点 状态 的 动态 变化 , 具体 而 言 , 不 依赖 于 此 节点 处 其 他 流 的 强度 。 

。 调节 PS 流 (通过 整形 或 丢弃 )， 以 保证 它 在 任何 节点 处 的 入 速率 都 小 于 此 处 的 最 

小 出 速率 。 

EF PHB 保证 前 者 ， 后 者 由 边界 调节 机 制 实现 。 

EF PHB 定义 为 一 种 逐 跳 行 为 ， 它 保证 任何 时 候 接受 此 服务 的 流 的 离开 速率 大 于 或 
等 于 设 定 速率 ， 而 且 这 种 保证 不 受 其 他 传输 流 的 影响 。 因 而 与 其 他 PHB 共存 时 ，EF 总 
是 优先 级 最 高 的 。 

在 网 络 边界 处 ， 必 须 对 PS 流 进 行 调节 ， 以 保证 其 符合 约定 的 流 规 格 ， 不 超过 额定 
最 小 出 速率 。 这 可 以 用 令 牌 桶 做 整形 与 丢弃 来 实现 .对 EF 模拟 测试 的 结果 , 表明 EF PHB 
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与 边界 调节 器 的 适当 实现 可 以 得 到 预期 的 “虚拟 专线 ”服务 。 
2) 确保 服务 
与 PS 的 相对 成 熟 、 稳 定 相 比较 ，AS 目前 仍 处 于 不 断 改 进 和 发 展 的 阶段 。AS 的 初 
庄 是 在 网 络 拥塞 的 情况 下 仍 能 保证 用 户 拥有 一 定量 的 预约 带宽 ， 使 用 户 摆脱 在 尽力 而 为 
型 时 无 法 把 握 自己 所 占 带 宽 量 的 无 奈 窒 况 。 所 以 ， 其 着 眼 点 是 带宽 与 丢失 率 ， 而 不 涉及 
延迟 、 拌 动 等 。 服 务 原则 是 : 无 论 是 否 拥塞 ， 都 保证 用 户 占有 预约 的 最 低 限 量 的 带宽 ; 
当 网 络 负载 较 轻 而 有 空闲 资源 时 ， 用 户 也 可 以 使 用 更 多 的 带宽 。 用 户 最 终 得 到 的 带宽 分 
为 两 部 分 : 
。 预定 最 小 保证 值 。 
。 与 其 他 AS 流 或 BE 流 竞 争 剩余 资源 获得 的 额外 带宽 。 与 PS 对 带宽 的 严格 承诺 不 
同 ，AS 着 眼 于 统计 性 保证 ， 这 样 可 以 提高 资源 利用 率 并 降低 价格 ,但 也 弱化 了 
服务 质量 保证 。 
对 AS 的 大 量 模拟 测试 表明 ，AS 的 实际 服务 质量 与 诸多 因素 相关 ， 较 难 达 到 量化 标 
准 ， 而 更 多 的 是 一 种 较 优 服 务 。 
AS 实现 的 基本 思路 如 下 : 
。 分 组 进入 网 络 时 在 边界 节点 给 包 做 标记 , 预约 带宽 以 内 的 流量 标 为 INCin profile)， 
超出 预约 带宽 的 流量 标 为 OUT (out of profile)。 
。 拥塞 时 包头 标记 决定 着 分 组 的 丢弃 概率 ，OUT 的 丢弃 概率 大 于 IN， 从 而 一 定 程 
度 上 保护 IN 流 ; 中 间 节 点 调度 转发 时 保证 源头 相同 的 流 不 乱 序 ， 不 管 其 中 分 组 
是 IN 还 是 OUT。 
这 种 方法 的 优点 是 简单 。 内 部 节点 不 需要 做 什么 工作 。 在 边界 节点 上 基于 TCA 中 
规定 的 规范 对 通信 量 进行 标记 可 以 对 不 同 的 类 提供 不 同 级 的 服务 。 
在 DiffServ 体系 中 ， 定 义 了 4 个 AF 类 型 ， 因 此 允许 定义 4 种 不 同 的 通信 量规 范 概 
要 。 用 户 可 以 选择 一 个 或 多 个 类 来 满足 需求 。 在 每 个 类 中 ， 分 组 被 客户 或 服务 提供 者 标 
以 三 种 丢弃 优先 级 中 的 一 种 。 在 遇 到 拥塞 时 ， 分 组 的 丢弃 优先 级 决定 该 AF 类 中 分 组 的 
相对 重要 性 。 拥 塞 的 DS 节点 试图 保护 具有 较 低 丢 弃 优 先 级 的 分 组 免 于 丢弃 ， 其 手段 是 
先 丢 弃 具 有 较 高 丢弃 优先 级 的 分 组 。 
3) 其 他 服务 类 型 
在 DiffServ 体系 中 , 服务 类 型 与 实现 它 的 PHB 在 定义 上 是 相互 分 离 的 。 这 种 处 理 主 
要 是 基于 灵活 性 的 考虑 : 服务 类 型 可 能 因 ISP 而 异 , 而 且 发 展 变化 较 快 , 但 实现 模块 PHB 
却 相 对 保持 稳定 。 因 此 IETF 的 标准 化 工作 仅仅 针对 PHB， 而 服务 类 型 则 是 完全 开放 的 ， 
由 各 ISP 自行 确定 。 
同一 PHB 通过 与 不 同 的 边界 分 类 调节 机 制 相 结合 ， 可 以 实现 不 同 的 服务 。 例 如 ， 
AF 也 可 以 用 来 实现 优 于 尽力 而 为 服务 (Better than Best-Effort service，BBE) 和 定量 确 
保 的 多 媒体 播放 服务 〈quantitative assured media playback service) 等 。 如 果 新 的 服务 类 
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型 无 法 用 已 有 PHB 实现 ， 就 需要 定义 新 的 PHB。 
1.10.3 MPLS QoS 技术 


1. MPLS 的 背景 

20 世纪 80 年 代 ， 随 着 因特网 的 迅速 发 展 ， 人 们 开始 探索 如 何 提高 分 组 转发 速度 的 
方法 。 这 时 出 现 了 一 种 思路 : 用 面向 连接 的 方式 取代 IP 的 无 连接 分 组 的 交换 方式 ， 这 样 
就 可 以 利用 更 快捷 的 查找 算法 ， 而 不 必 使 用 最 长 前 级 匹配 的 方法 来 查找 路 由 表 。 这 种 基 
本 概念 就 叫做 交换 (switching)。 

为 了 实现 交换 ， 可 以 利用 面向 连接 的 概念 ， 使 每 个 分 组 携带 一 个 叫做 标记 (label) 
的 小 整数 (也 就 是 给 分 组 打上 一 个 标记 )。 当 分 组 到 达 交 换 机 〔 即 标记 交换 路 由 器 〉 时 ， 
交换 机 读 取 分 组 的 标记 ， 并 用 标记 值 来 检索 分 组 转发 表 。 图 1-144 描述 了 这 一 概念 。 


SI 的 转发 表 
1-144 ”交换 机 根据 分 组 的 标记 转发 分 组 


1-144 画 出 了 交换 机 Si 中 已 建立 的 分 组 转发 表 。 每 个 进入 交换 机 的 分 组 都 携带 一 
个 标记 。 图 中 画 出 了 携带 标记 0 的 分 组 从 Si 的 接口 1 转发 出 去 ， 而 携带 标记 1 的 分 组 
则 从 Si 的 接口 0 转发 出 去 。 这 样 的 转发 速度 要 比 查 找 路 由 器 快 得 多 。 

按照 以 上 思路 ，IETF 于 1997 年 成 立 了 MPLS 工作 组 ， 以 便 开 发 出 一 种 新 的 协议 标 
准 。 这 种 新 的 协议 取 名 为 多 协议 标记 交换 (Multi-Protocol Label Switching，MPLS )。“ 多 
协议 ”表示 在 MPLS 的 上 面 可 以 采用 多 种 协议 。IETF 还 综合 了 许多 公司 的 类 似 技术 ， 如 
Cisco 公司 的 标记 交换 TAG (TAG switching)， 以 及 Ipsilon 公司 的 全 交换 (IP switching) 
等 。2001 年 1 月 MPLS 终于 成 为 因特网 的 建议 标准 (RFC 3031，3032) (W-MPLS )。 

现在 MPLS 受到 网 络 界 人 士 的 高 度 重 视 ， 因 为 MPLS 具有 以 下 4 个 方面 的 特点 : 

(1) 支持 面向 连接 的 服务 质量 。 

(2) 支持 流量 工程 ， 平 衡 网 络 负载 。 

(3) 有 效 地 支持 虚拟 专用 网 (VPN)。 

(4) 支持 多 种 网 络 协议 。 
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2. MPLS 的 工作 原理 

1) 基本 工作 过 程 

在 传统 的 全 网 络 中 ， 分 组 每 到 达 一 个 路 由 器 ， 都 必须 查找 路 由 表 ， 并 按照 “最 长 前 
缀 匹配 ”的 原则 找到 下 一 跳 的 人 P 地 址 (请 注意 ， 前 缀 的 长 度 是 不 确定 的 )。 当 网 络 很 大 
时 ， 查 找 含 有 大 量 项 目的 路 由 表 要 花费 很 多 的 时 间 。 在 出 现 突 发 性 的 通信 量 时 ， 往 往 还 
会 使 缓冲 溢出 ， 这 就 会 引起 分 组 丢失 、 传 输 时 延 增 大 和 服务 质量 下 降 。 

MPLS 的 一 个 重要 特点 就 是 不 用 长 度 可 变 的 人 P 地 址 前 组 来 查找 转发 表 中 的 匹配 项 
目 ， 而 是 给 每 一 个 卫 数据 报 打 上 固定 长 度 “ 标 记 ”， 然 后 对 打上 标记 的 人 P 数据 报 用 硬件 
进行 转发 , 这 就 使 得 卫 数据 报 转发 的 过 程 省 去 了 每 到 达 一 个 路 由 器 都 要 上 升 到 第 三 层 用 
软件 查找 路 由 表 的 过 程 , 因而 卫 数据 报 转发 的 速率 就 大 大 地 加 快 了 。 采用 硬件 技术 对 打 
上 标记 的 人 P 数据 报 进行 转发 就 称 为 标记 交换 。“ 交 换 ” 也 表示 在 转发 时 不 再 上 升 到 第 三 
层 查 找 转发 表 , 而 是 根据 标记 在 第 二 层 用 硬件 进行 转发 。MPLS 可 使 用 多 种 链 路 层 协议 ， 
如 PPP、 以 太 网 、ATM 以 及 帧 中 继 等 。 图 1-145 是 MPLS 协议 的 基本 原理 的 示意 图 。 


MPLS 
二 出 口 结 点 


入 口 结 点 “SS 于 Ba 几时 
ee 普通 IP 分 组 ee 打上 标记 的 分 组 
i 普通 路 由 器 标记 交换 路 由 器 LSR 


1-145 MPLS 协议 的 基本 原理 


MPLS 域 (MPLS domain) 是 指 该 域 中 有 许多 彼此 相 邻 的 路 由 器 ， 并 且 所 有 的 路 由 
器 都 是 支持 MPLS 技术 的 标记 交换 路 由 器 (Label Switching Router，LSR)。LSR 同时 具 
有 标记 交换 和 路 由 选择 这 两 种 功能 ， 标 记 交 换 功 能 是 为 了 快速 转发 , 但 在 这 之 前 LSR 需 
要 使 用 路 由 选择 功能 构造 转发 表 。 

图 1-145 中 给 出 了 MPLS 的 基本 工作 过 程 如 下 。 

(1) MPLS 域 中 的 各 LSR 使 用 专门 的 标记 分 配 协议 (Label Distribution Protocol， 
LDP) 交 换 报 文 , 并 找 出 和 特定 标记 相对 换 的 路 径 , 即 标记 交换 路 径 (Label Switched Path， 
LSP)。 例 如 在 图 中 的 路 径 A 一 B 一 C 一 D。 各 LSR 根据 这 些 路 径 构造 出 转发 表 。 这 个 过 
程 和 路 由 器 构造 自己 的 路 由 表 相 似 〈(RFC 3031)。 但 应 注意 的 是 ，MPLS 是 面向 连接 的 ， 
因为 在 标记 交换 路 径 LSP 上 的 第 一 个 LSR 就 根据 卫 数据 报 的 初始 标记 确定 了 整个 的 标 
记 交 换 路 径 ， 就 像 一 条 虚 连接 一 样 。 
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(2) 当 一 个 他 数据 报 进入 到 MPLS 域 时 ，MPLS 入 口 节点 (ingress node) 就 给 它 打 
上 标记 (后 面 我 们 就 会 知道 ， 这 实际 上 是 插入 一 个 MPLS 首部 )， 并 按照 转发 表 把 它 转 
发 给 下 一 个 LSR。 以 后 的 所 有 LSR 都 按照 标记 进行 转发 。 

给 卫 数据 报 打 标记 的 过 程 叫做 分 类 (classification)。 严 格 的 第 三 层 分 类 是 只 使 用 了 
IP 首部 中 的 字段 ， 如 源 全 地 址 和 目的 了 P 地 址 等 。 大 多 数 运营 商 实现 了 第 四 层 分 类 〈 除 
了 要 检查 IP 首部 外 ， 还 要 检查 TCP 或 UDP 首部 中 的 协议 端口 号 )， 而 有 些 运营 商 则 实 
现 了 第 五 层 分 类 (更 进一步 地 检查 数据 报 的 内 部 并 考虑 其 有 效 载荷 )。 

(3) 由 于 在 全 国内 统一 分 配 全 局 标记 数值 是 非常 困难 的 ， 因 此 一 个 标记 仅仅 在 两 个 
标记 交换 路 由 器 LSR 之 间 才 有 意义 。 分 组 每 经 过 一 个 LSR，LSR 就 是 要 做 两 件 事 。 一 
是 转发 ， 二 是 更 新 的 标记 ， 即 把 入 标记 更 换 成 为 出 标记 。 这 就 叫 标记 对 换 (label 
swapping)。 做 这 两 件 事 所 需 的 数据 都 已 清楚 地 写 在 转发 表 中 。 例 如 ， 图 1-145 中 的 标记 
交换 路 由 器 B 从 入 接口 0 收 到 一 个 入 标记 为 3 的 PP 数据 报 。 查 找 转发 表 见 表 1-20。 标 
记 交 换 路 由 器 B 就 知道 应 当 把 该 卫 数据 报 从 出 接口 1 转发 出 去 ， 同 时 把 标记 对 换 为 1 。 


表 1-20 标记 交换 路 由 器 转发 表 
入 接口 入 标记 | 出 接口 | 出 标记 
0 | ss | 5 | 1 

当 卫 数据 报 进入 下 一 个 LSR 时 ， 这 时 的 入 标记 就 是 刚才 得 到 的 出 标记 。 因 此 ， 标 
记 交 换 路 由 器 C 接着 在 转发 该 卫 数据 报时 ， 又 把 入 标记 1 对 换 为 出 标记 2。 

(4) 当 卫 数据 报 离开 MPLS 域 时 ，MPLS 出 口 节点 (egress node) 就 把 MPLS 的 标 
记 去 除 ， 把 PP 数据 报 交 付 给 非 MPLS 的 主机 或 路 由 器 ， 以 后 就 按照 普通 的 转发 方法 进 
行 转发 。 

上 述 的 这 种 “由 入 口 LSR 确定 进入 MPLS 域 以 后 的 转发 路 径 ” 称 为 显 式 路 由 选择 
(explicit routing)， 它 和 因特网 中 通常 使 用 的 “每 一 个 路 由 器 逐 跳 进 行路 由 选择 ”有 着 很 
大 的 区 别 。 

2) 转发 等 价 类 (FEC) 

MPLS 有 个 很 重要 的 概念 就 是 转发 等 价 类 (Forwarding Equivalence Class，FEC ) 。 
所 谓 “ 转 发 等 价 类 ”就 是 路 由 器 按照 同样 方式 对 待 的 卫 数据 报 的 集合 。 这 里 “按照 同样 
方式 对 待 ” 表 示 从 同样 接口 转发 到 同样 的 下 一 跳 地 址 ， 并 且 具 有 同样 服务 类 别 和 同样 丢 
弃 优先 级 等 。FEC 的 例子 是 : 

Q 目的 卫 地 址 与 某 一 个 特定 卫 地 址 的 前 级 匹配 的 人 P 数据 报 〈 这 就 相当 于 普通 的 
JP 路 由 器 )。 

@ 所 有 源 地 址 与 目的 地 址 都 相同 的 下 数据 报 。 

@ 具有 某 种 服务 质量 需求 的 卫 数据 报 。 
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总 之 ， 划 分 FEC 的 方法 不 受 任何 限制 ， 这 都 由 网 络 管理 员 来 控制 ， 因 此 非常 灵活 。 
入 口 节点 并 不 是 给 每 一 个 人 P 数据 报 指派 一 个 不 同 的 标记 , 而 是 将 属于 同样 FEC 的 全数 
据 报 都 指派 同样 的 标记 。FEC 和 标记 是 一 一 对 应 的 关系 。 

显然 ，FEC 可 以 有 不 同 的 粒度 。 细 粒度 的 例子 是 为 特定 源 主机 和 目的 主机 之 间 的 特 
定 应 用 指派 的 FEC。 与 特定 出 口 LSR《〈 不 管 数据 流 是 从 哪 一 个 源 节点 发 送 过 来 的 ) 相关 
联 的 FEC 则 是 粗 粒度 的 例子 。 在 这 种 情况 下 许多 应 用 流 聚 合 到 出 口 LSR 离开 MPLS 域 ， 
像 一 棵 倒置 的 树 ， 它 的 根 在 出 口 LSR。 这 种 应 用 流 的 聚合 也 称 为 虚 电 路 合并 (VC 
merging)。 这 样 做 可 以 大 大 减少 转发 表 中 的 项 目 数 。 图 1-146 给 出 了 一 个 例子 。 这 个 图 
表示 ， 进 入 一 个 LSR 的 不 同 入 标记 的 卫 数据 报 ， 在 离开 LSR 时 都 具有 相同 的 出 标记 ， 
因为 它们 都 是 要 到 达 同 一 个 出 口 LSR 的 。 例 如 ， 进 入 标记 交换 路 由 器 Si 的 他 数据 报 ， 
不 同 的 入 标记 1 和 3, 都 对 换 成 相同 的 出 标记 2。 而 进入 标记 交换 路 由 器 S; 的 人 P 数据 报 ， 
不 同 的 入 标记 1 和 2， 都 对 换 成 相同 的 出 标记 4。 


入 口 LSR 入 DTESR 


二 i 1 
入 口 LSR 人 Si 


入 口 LsR 区 


出口 LSR 


图 1-146 ”应 用 流 聚 合 到 出 口 LSR 


图 1-147 给 出 一 个 把 FEC 用 于 负载 平衡 的 例子 。 图 1-147 (a) 的 主机 Hi 和 了 分 别 
向 Hs 和 H4 发 送 大 量 数据 。 路 由 器 A 和 C 是 数据 传输 必须 经 过 的 。 但 传统 的 路 由 选择 协 
议 只 能 选择 最 短路 径 A 一 B 一 C， 这 就 可 能 导致 这 段 最 短路 径 过 载 。 

图 1-147 (b) 表示 在 MPLS 的 情况 下 ， 入 口 节点 A 可 设置 两 种 FEC:“ 源 地 址 为 
Hi 而 目的 地 址 为 H3” 和 “ 源 地 址 为 HL 而 目的 地 址 为 H4”， 把 前 一 种 FEC 的 路 径 设置 为 
Hi 一 A 一 B 一 C 一 Hs,， 而 后 一 种 的 路 径 设 置 为 H 一 A 一 D 一 E 一 C 一 H4。 这 样 可 使 网 络 的 负 
载 较为 平衡 。 网 络 管理 员 采 用 自 定义 的 FEC 就 可 以 更 好 地 管理 网 络 的 资源 。 这 种 均衡 网 
络 负载 的 做 法 也 称 为 流量 工程 〈traffic engineering) 或 通信 量 工 程 。 
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图 1-147 FEC 用 于 负载 平衡 


1.10.4 ”移动 网 络 QoS 技术 


移动 互联 网 的 拓扑 结构 和 资源 都 在 动态 地 变化 ， 要 提供 服务 质量 保证 比 固定 网 更 为 
困难 。 目 前 ， 根 据 无 线 和 移动 环境 的 特点 ， 人 们 对 原 有 的 QoS 技术 进行 了 改进 。 

1. 移动 环境 下 的 IntServ 和 RSVP 

目前 的 RSVP 不 适合 于 移动 卫 网 络 , 主要 原因 是 它 无 法 感知 主机 的 移动 , 因而 不 能 
在 移动 主机 即将 访问 的 位 置 上 提前 预 留 资源 ， 当 主机 移动 到 新 的 子 网 后 往往 因 缺 乏 资源 
而 导致 服务 质量 下 降 。 另 外 ， 目 前 的 RSVP 不 支持 经 过 IP 隧道 的 资源 预 留 ， 因 此 不 能 适 
应 移动 卫 网 利用 隧道 传送 数据 时 的 服务 质量 要 求 。 为 了 克服 RSVP 的 缺陷 , 提出 了 以 下 
4 种 解决 方案 : 

1) MRSVP 

MRSVP 协议 要 求 预测 主机 未 来 可 能 到 达 的 位 置 ， 并 在 这 些 位 置 中 提前 预 留 资源 。 
在 RSVP 中 有 主动 和 被 动 两 种 资源 预 留 方式 ， 主 动 资 源 预 留用 于 移动 主机 当前 所 在 的 子 
网 , 被动 资源 预 留用 于 未 来 访问 的 子 网 。 被 动 预 留 的 资源 可 以 被 子 网 中 其 他 业务 流 使 用 ， 
但 当 移动 主机 移动 到 该 子 网 时 ， 子 网 中 被 动 预 留 的 资源 即 转变 为 主动 预 留 资源 ， 供 移动 
主机 使 用 ， 而 原来 使 用 这 些 资 源 的 业务 流 需要 立刻 释放 所 占用 的 资源 。 

2) 支持 隧道 的 RSVP 

支持 隧道 的 RSVP 建议 在 隧道 的 两 个 端点 之 间 为 通过 隧道 的 总 业务 量 预 留 资源 。 这 
样 ， 在 端 到 端的 RSVP 会 话 经 过 隧道 时 ， 就 没有 必要 再 考虑 隧道 中 的 资源 预 留 。 

3) 基于 组 播 的 RSVP 

在 基于 组 播 的 RSVP 协议 中 ， 每 个 移动 主机 用 一 个 组 播 地 址 来 标识 ， 所 有 移动 主机 
在 发 送 、 接 收 RSVP 消息 和 了 王 数 据 包 时 都 通过 组 播 方式 进行 ,主机 的 移动 可 视 为 组 播 组 
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成 员 的 变动 。 该 方案 还 采用 了 类 似 于 MRSVP 的 运动 预测 机 制 ， 由 移动 代理 将 移动 主机 
下 一 步 将 要 访问 的 位 置 提前 加 入 到 组 播 树 中 ， 并 预 留 资源 。 另 一 方面 ， 用 剪 枝 的 方法 将 
主机 已 经 离开 的 位 置 从 树 上 删除 。 
4) DRSVP 
DRSVP 是 一 种 支持 可 变 服务 质量 的 动态 资源 预 留 协议 ， 它 使 用 户 能 够 根据 网 络 资 
源 的 变化 动态 调整 服务 质量 要 求 。DRSVP 的 主要 做 法 是 在 Resv 消息 中 增加 参数 来 描述 
业务 流 的 适应 范围 ， 通 报 上 、 下 游 的 资源 “瓶颈 ” 并 引入 新 的 带宽 分 配 算 法 ， 以 适应 网 
络 资源 的 动态 变化 。 这 个 方案 的 优点 是 允许 预 留 的 资源 有 一 个 波动 范围 ， 从 而 灵活 地 支 
持 服 务 质量 需求 ， 并 使 网 络 资源 利用 率 也 得 到 提高 。 
2. 移动 环境 下 的 DiffServ 
目前 的 DiffServ 不 能 满足 移动 IP 网 的 要 求 ， 主 要 原因 有 两 个 : 一 是 没有 信 令 ,不 能 
做 到 实时 控制 ， 另 一 个 原因 是 不 能 动态 配置 服务 质量 参数 。 
无 线 环境 下 的 DiffServ 框架 ， 对 DiffServ 的 功能 进行 了 以 下 扩展 : 
。 增加 信 令 协议 ， 用 于 在 移动 终端 和 基站 之 间 传 送 控制 消息 及 相关 参数 (如 移动 终 
端的 能 量 、 当 前 的 丢失 率 等 )。 
。 增加 对 移动 性 的 支持 ， 为 移动 主机 预 留 带宽 ， 或 者 赋予 移动 主机 高 优先 级 ， 使 其 
在 切换 时 能 够 抢占 低 优先 级 业务 的 带宽 ， 或 使 用 预 留 带宽 来 补偿 无 线 链 路 的 高 误 
码 损失 。 
。 要 求 基站 能 够 过 滤 掉 部 分 不 重要 的 信息 ， 以 解决 有 线 和 无 线 链 路 速率 不 匹配 的 问 
题 ， 或 减少 终端 的 能 耗 。 
移动 环境 下 的 QoS 策略 ， 其 发 展 趋势 如 下 : 核心 网 采用 DiffServ， 无 线 接 入 网 既 可 
采用 IntServ 也 可 采用 DiffServ; 无 线 接 入 网 内 用 信 令 协议 支持 动态 资源 分 配 ， 资源 分 配 
信 令 可 以 和 移动 主机 位 置 管理 信 令 相 结 合 ， 以 加 快 资源 分 配 过 程 , 减少 信 令 开销 。 另外， 
动态 资源 分 配 可 以 同 接纳 控制 和 无 线 分 组 调度 等 技术 结合 ， 更 好 地 解决 QoS 问题 。 
3. 移动 IPv6 服务 质量 
当 移 动 节点 改变 网 络 连 接点 时 ， 数 据 包 经 过 的 中 间 网 络 域 可 能 发 生变 化 。 因 此 ， 在 
这 些 网 络 域 中 ， 需 要 在 移动 节点 的 数据 包 上 提供 适当 的 服务 质量 支持 ， 这 样 运行 在 移动 
节点 上 的 服务 质量 敏感 应 用 程序 能 保持 可 用 的 服务 等 级 。 
1) 基于 RSVP 的 移动 ]Pv6 服务 质量 体系 
有 的 方法 提出 了 一 个 无 线 和 移动 网 络 中 的 信 令 协议 ， 当 移动 主机 从 一 个 子 网 移动 到 
另 一 个 子 网 时 ， 人 允许 移动 主机 在 当前 位 置 的 路 径 上 建立 和 维持 预 留 资源 。 这 个 协议 通过 
结合 RSVP 隧道 和 移动 PP 协议 来 实现 。 
有 的 方法 解决 了 在 移动 IP 网 络 中 运行 RSVP 信 令 的 问题 , 采用 优化 路 由 , 讨论 了 基 
本 解决 方法 : 在 移动 节点 和 通信 节点 上 修改 RSVP， 使 其 知道 移动 PPv6 的 地 址 ; 允许 在 
固定 和 移动 网 络 之 间 传 输 RSVP 数据 流 。 


270 网 络 规划 设计 师 教 程 


上 述 这 些 为 移动 用 户 提供 服务 的 方法 都 是 基于 RSVP 的 ， 因 此 就 有 了 RSVP 的 可 扩 
展 性 问题 。 例 如 ， 现 有 的 资源 预 留 协议 的 设计 着 眼 于 由 静止 主机 构成 的 网 络 ， 为 了 支持 
移动 环境 的 资源 预 留 ， 还 应 对 RSVP 协议 进行 扩展 和 修改 ， 使 其 支持 移动 节点 (MN) 
的 资源 预 留 。 另 一 种 方法 是 定义 特别 的 IPv6 扩展 头 标 作为 资源 预 留 信 令 ,这 样 可 在 一 个 
分 组 中 综合 QoS 信息 、 地 址 绑 定 信息 和 IPv6 数据 分 组 ， 节 约 信 令 开销 。 对 移动 IPv6 节 
点 发 送 的 分 组 中 可 根据 其 本 地 地 址 和 流标 记 来 识别 一 个 数据 流 ， 但 需要 各 边缘 路 由 器 支 
持 移动 IPv6 的 本 地 地 址 信 宿 选项 。 卫 移动 性 和 RSVP 时 结合 是 很 复杂 的 问题 。 

2) 基于 区 分 服务 的 移动 IPv6 服务 质量 体系 

有 些 学 者 提出 了 一 个 移动 IPv6 网 络 的 服务 质量 结构 框架 。 该 结构 是 基于 区 分 服务 
的 ， 因 为 数据 流 是 以 集合 的 方式 在 主干 网 上 传输 的 。 每 个 管理 域 中 至 少 有 一 个 全 局 服务 
器 ， 称 为 全 局 服务 质量 代理 〈GQA)， 有 几 个 归属 节点 作为 归属 服务 质量 代理 (LQA)。 
这 种 结构 的 主要 特点 是 : GQA 是 在 控制 面 上 ，LQA 是 在 传输 面 上 。 由 于 在 中 心服 务 器 
上 保留 全 局 信息 ， 并 且 将 控制 和 数据 传输 分 开 ， 这 个 结构 用 于 移动 环境 时 非常 灵活 ， 易 
于 添加 新 的 服务 ， 并 且 更 加 有 效 。GQA 和 LQA 之 间 的 通信 采用 COPS (Common Open 
Policy Service)。 该 结构 还 考虑 了 集成 移动 IPv6 和 区 分 服务 的 其 他 问题 ， 如 移动 环境 下 
的 网 络 资源 提供 、 缺 乏 动态 配置 问题 、 服 务 等 级 约定 的 定义 和 选择 、 移 动 数据 流 的 标识 
和 计 费 等 。 

在 移动 卫 中 实现 QoS 要 比 在 固定 人 P 网 络 中 复杂 得 多 。 区 分 服务 用 于 移动 IP 中 存在 
以 下 问题 : 

。 区 分 服务 比较 适用 于 设计 周全 、 带 宽 合 理 分 配 的 网 络 ， 支 持 移动 环境 的 网 络 由 于 

其 网 络 中 的 节点 随时 移动 ， 因 而 其 业务 量 模型 比较 复杂 。 

。 在 区 分 服务 中 , 不同 QoS 区 域 ( 如 不 同 的 ISP 提供 的 网 络 ) 的 业务 等 级 协议 (SLA) 
常常 是 静态 的 ， 移 动 IP 的 高 动态 环境 与 区 分 服务 的 静态 带宽 分 配 是 相 矛 盾 的 ， 
因此 为 了 MN 的 动态 带宽 分 配 需要 ， 必 须 支 持 动态 的 业务 等 级 协商 。 

。 在 不 同 QoS 区 域 的 入 口 处 , 网 络 的 边缘 路 由 器 要 对 分 组 流 进行 识别 , 传统 分 组 流 
可 以 通过 分 组 头 标 上 的 五 元 组 〈 源 /目的 卫 地址 、 协 议 类 型 、 源 /目的 端口 号 ) 来 
识别 。 而 移动 IPv6 中 的 分 组 的 源 卫 地 址 (MN 发 送 的 分 组 ) 或 目的 他 地 址 (MN 
接收 的 分 组 ) 是 MN 的 转交 地 址 ， 该 地 址 随 着 节点 的 移动 而 动态 地 变化 。 

为 了 在 移动 P 网 络 上 实现 区 分 服务 , 应 精细 设计 提供 移动 服务 的 网 络 , 动态 预测 移 
动 节点 对 带宽 的 需求 和 接 入 的 MN 数 ， 或 采用 资源 预 留 等 信 令 机 制 ， 更 准确 地 预测 满足 
移动 节点 QoS 所 需 的 带宽 。 

3) 服务 质量 对 象 

在 某 些 方法 中 ， 引 入 了 一 个 新 的 IPv6 选项 ， 称 为 “服务 质量 对 象 ?。 根 据 上 下 文 的 
不 同 ， 服 务 质量 对 象 可 以 作为 目的 选项 或 者 Hop-by-Hop 选项 ， 包 含 在 绑 定 更 新 和 绑 定 
认可 消息 中 。 作 为 Hop-by-Hop 选项 时 ， 服 务 质量 对 象 在 中 间 网 络 域 触发 特定 的 服务 质 
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量 过 程 。 

这 些 方法 的 基本 思想 是 把 服务 质量 对 象 作为 Hop-by-Hop 选项 放 在 绑 定 消息 中 ， 传 
输 方向 与 服务 质量 敏感 的 数据 流 相同 (本 地 代理 HA 到 MN、 核心 网 CN 到 MN 或 者 MN 
到 CN)。 当 数据 包 在 端 到 端 路 径 上 穿 过 不 同 域 时 ， 需 要 检查 服务 质量 对 象 ， 为 MN 的 数 
据 包 提 供 服务 质量 支持 。 

4) 移动 服务 质量 其 他 问题 

MN 在 越 区 切换 时 引入 的 分 组 传输 延 时 和 分 组 丢失 也 是 移动 PP 急需 解决 的 问题 , 这 
个 问题 不 解决 , 移动 Intemet 的 QoS 保证 就 无 从 谈 起 。 缓存 管理 可 以 使 得 切换 更 为 平滑 。 
具有 缓存 管理 功能 的 路 由 器 ， 在 路 由 器 通告 消息 中 向 感 兴 趣 的 移动 节点 通告 它 的 缓存 能 
力 。 当 移动 节点 收 到 指示 后 可 以 获得 缓存 服务 的 路 由 器 通告 时 ， 它 可 以 使 用 定义 的 缓存 
初始 化 子 选项 请 求 缓存 。 移 动 节点 可 以 请 求 确定 的 缓存 空间 或 者 接受 默认 的 缓存 空间 ， 
路 由 器 根据 可 用 资源 ， 可 以 接受 或 拒绝 此 请 求 ， 或 者 根据 需要 分 配 一 个 更 小 的 缓存 ， 其 
大 小 通过 定义 的 缓存 确认 子 选 项 通知 移动 节点 。 
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2.1 设计 基础 


2.1.1 网络 基本 元 素 


计算 机 网 络 由 多 种 基本 元 素 组 合 而 成 ， 常 见 的 网 络 基本 元 素 包 括 计算 机 平台 、 应 用 
软件 、 物 理 设备 和 拓扑 结构 、 网 络 软 件 和 实用 软件 、 互 联 设备 和 广域网 连接 等 。 

在 不 同 的 计算 机 网 络 中 ， 设 计 者 通过 不 同 基本 元 素 的 组 合 ， 形 成 了 不 同 规模 、 满 足 
不 同 应 用 需求 的 网 络 。 

1. 计算 机 平台 

计算 机 平台 是 网 络 中 的 终端 用 户 节点 ， 是 装载 并 运行 操作 系统 和 应 用 程序 并 为 用 户 
提供 功能 和 服务 的 设备 ， 不 同 的 计算 机 平台 ， 其 形状 、 尺 寸 、 性 能 有 所 不 同 。 按 照 功能 
的 不 同 ， 可 以 将 计算 机 网 络 中 的 计算 机 平台 简单 划分 为 计算 机 终端 、 网 络 计算 机 (NC)、 
个 人 计算 机 、 工 作 站 、 小 型 服务 器 、 大 型 服务 器 。 

在 进行 计算 机 网 络 设计 时 ， 各 类 计算 机 平台 的 微 处 理 器 的 类 型 、 内 存 、 输 入 输出 、 
操作 系统 、 设 备 驱动 器 、 存 储 器 等 都 将 对 设计 工作 产生 影响 。 例 如 在 一 个 电子 图 书 阅 
览 室 内 部 局 域 网 设计 中 ， 如 果 所 有 阅览 计算 机 都 采用 网 络 计算 机 ， 由 于 该 类 平台 本 身 
不 具备 硬盘 等 存储 设备 ， 实 际 上 是 通过 远程 访问 中 心服 务 器 来 完成 阅读 工作 的 ， 因 此 对 
局 域 网 的 带宽 、 中 心服 务 器 的 性 能 要 求 就 不 同 于 所 有 阅览 机 采用 个 人 计算 机 的 网 络 规划 
方案 。 

2. 应 用 软件 

应 用 软件 运行 于 计算 机 平台 之 上 ， 是 完成 某 种 特定 应 用 的 软件 系统 ， 是 网 络 系 统 中 
常用 的 软件 之 一 。 应 用 软件 分 为 多 种 类 型 ， 如 有 些 应 用 软件 运行 在 单机 模式 中 ， 而 另外 
一 些 则 运行 在 多 机 模式 中 ， 需 要 网 络 环境 的 支持 。 由 于 应 用 软件 直接 体现 了 用 户 的 应 用 
需求 ， 因 此 网 络 设计 工作 必须 考虑 应 用 软件 的 使 用 方式 和 需求 ， 以 便于 保证 应 用 软件 的 
整体 性 能 。 例 如 ， 一 个 企业 网 络 的 互联 网 出 口 既 承载 着 企业 大 量 内 部 数据 对 互联 网 发 布 
的 应 用 ， 同 时 又 是 内 部 人 员 访 问 互联 网 的 基础 ， 在 设计 中 必须 考虑 到 对 内 部 人 员 访 问 互 
联网 络 进行 流量 控制 ， 否 则 大 量 的 P2P 访问 流量 就 会 导致 出 口 带宽 被 占用 ， 严 重 影响 企 
业 业 务 数据 发 布 的 功能 。 又 例如 , 对 于 一 个 核心 企业 应 用 系统 来 说 , 采用 C/S 架构 和 B/S 
架构 ， 对 核心 服务 器 、 网 络 带 宽 的 要 求 是 不 同 的 ， 应 根据 用 户 的 需求 进行 相应 的 网 络 
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设计 。 

应 用 软件 也 会 影响 用 户 对 网 络 和 系统 的 感觉 。 如 果 用 户 借助 设计 不 佳 的 网 络 ， 在 一 
个 速度 极 慢 的 计算 机 上 运行 过 时 的 应 用 软件 ， 用 户 将 不 会 喜欢 这 样 的 系统 。 因 此 ， 在 网 
络 设计 中 应 选择 适合 所 设计 的 网 络 环境 的 应 用 软件 。 

3. 物理 设备 和 拓扑 结构 

物理 设备 是 指 连接 网 络 端点 之 间 的 基础 设施 ， 如 网 卡 、 电 缆 、 接 插件 、 接 插 板 、 集 
线 器 等 ， 而 一 个 网 络 ， 是 由 各 种 各 样 的 物理 设备 连接 而 构成 的 。 在 设计 一 个 网 络 时 ， 电 
缆 类 型 、 物 理 设 施 允 许 的 速率 、 网 络 设备 的 位 置 和 类 型 都 起 着 重要 的 作用 。 

网 络 拓扑 结构 是 指 在 给 定 终端 位 置 的 情况 下 网 络 的 结构 方式 。 拓 扑 结构 决定 了 网 络 
的 工作 原理 及 网 络 信息 的 传输 方式 。 一 旦 确定 了 网 络 的 拓扑 结构 ， 就 要 选择 适合 这 种 拓 
扑 结构 的 工作 方式 与 信息 的 传输 方式 。 如 果 选 择 和 配置 不 当 ， 将 影响 网 络 安全 。 

常见 的 网 络 拓扑 结构 分 为 两 大 类 ， 分 别 是 广域网 拓扑 结构 和 局 域 网 拓扑 结构 。 其 中 
广域网 拓扑 结构 有 集中 式 、 分 散 式 、 分 布 式 、 不 规则 式 等 结构 ， 局 域 网 拓扑 结构 有 星 状 
结构 、 环 状 结构 、 总 线 结构 、 树 状 结构 和 网 状 结构 等 。 在 实际 应 用 中 ， 通 常 是 由 它们 组 
成 的 混合 形式 ， 而 非 单一 的 拓扑 结构 。 

4. 网 络 软件 和 实用 软件 

在 设计 、 运 行 和 维护 网 络 的 过 程 中 ， 网 络 软 件 和 实用 软件 占有 非常 重要 的 地 位 。 其 
中 网 络 软件 主要 由 客户 机 端的 软件 和 客户 机 之 间或 客户 机 与 服务 器 之 间 进 行 通信 所 需要 
的 协议 堆栈 支撑 软件 组 成 。 由 于 网 络 软件 负责 实现 网 络 中 的 协议 传递 、 服 务 提供 ， 并 由 
此 产生 网 络 上 的 各 种 协议 流量 ， 因 此 在 网 络 设计 中 ， 如 何 选择 合适 的 网 络 软件 是 需要 重 
点 考虑 的 问题 。 在 网 络 软件 和 应 用 软件 的 区 别 上 ， 需 要 说 明 的 是 网 络 软件 是 为 底层 协议 
服务 的 通用 软件 ， 而 应 用 软件 是 为 实现 业务 流程 服务 的 特殊 软件 。 

实用 软件 主要 是 用 于 实现 网 络 分 析 、 管 理 、 监 控 、 维 护 、 故 障 发 现 排除 等 功能 ， 而 
专门 为 网 络 定制 的 特殊 软件 ， 既 包括 网 络 管理 软件 ， 例 如 ， 惠 普 公司 的 OpenView 以 及 
Sun 公司 的 SNM 之 类 的 复杂 软件 ， 又 包括 像 ping、traceroute 之 类 的 简单 软件 。 

5. 互联 设备 

在 不 同类 型 的 网 络 间 进 行 通信 时 ， 需 要 使 用 各 种 互联 设备 来 实现 异 构 网 络 间 的 协议 
转换 、 同 构 网 络 间 的 网 络 范围 延伸 。 网 络 互 联 设 备 包 括 网 桥 、 交 换 机 、 路 由 器 、 网 关 等 ， 
通过 这 些 设 备 形成 网 络 的 框架 ， 并 用 来 提高 网 络 性 能 。 

在 网 络 设计 中 ， 网 络 互联 设备 的 选择 十 分 重要 。 在 不 同 的 互联 层次 ， 应 选择 不 同 的 
互联 设备 。 例 如 ， 如 果 在 第 二 层 实现 异 构 网 络 互联 ， 选 择 网 桥 ， 在 第 二 层 实现 以 太 同 构 
互联 ， 则 选择 以 太 交换 机 ; 在 第 三 层 实现 网 络 连通 ， 选 择 路 由 器 。 不 同 层次 的 互联 设备 
不 仅 实 现 互联 的 原理 不 同 ， 同 时 也 会 对 网 络 的 性 能 、 可 维护 性 、 可 扩展 性 产生 不 同 的 
影响 。 
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6. 广域网 连接 

广域网 连接 使 局 域 网 CLAN) 和 校园 网 转变 成 城 域 网 (MAN) 和 广域网 (WAN)， 
广域网 连接 采用 点 对 点 还 是 交换 式 、 高 速 还 是 低速 都 将 直接 影响 到 网 络 的 性 能 和 效率 。 

广域网 连接 设计 也 是 网 络 设计 中 非常 关键 的 一 步 ， 因 为 大 部 分 的 网 络 费用 是 用 于 租 
用 公共 服务 和 设施 的 。 而 广域网 的 连接 是 利用 这 种 潜在 而 且 昂 贵 的 资源 ， 因 此 必须 认真 
考虑 网 络 应 用 和 用 户 服 务 需求 。 


2.1.2 ”网 络 互联 设备 


随 着 网 络 技术 的 不 断 发 展 ， 为 了 满足 人 们 对 网 络 环境 、 应 用 、 人 性 能 价格 比 的 不 同 要 
求 ， 多 种 网 络 互联 设备 应 运 而 生 ， 使 网 络 设计 的 内 容 更 为 丰富 。 这 些 互 联 设备 工作 在 不 
同 的 网 络 层 次 ， 通 过 不 同 原 理 实现 网 络 互联 ， 具 有 不 同 的 优 缺 点 ， 如 表 2-1 所 示 。 


表 2-1 互联 的 层次 性 


实现 互联 层次 | 实现 原理 优点 缺点 
物理 层 信号 复制 与 放大 “| 错误 分 隔 、 互 联 方便 简洁 al 
E 数据 由 过滤 ,安全 性 提高 , 异 构 网 | 无 法 屏 项 网 络 风景 ， 网 络 
链 路 层 孝 据 帧 存储 转发 | 络 互联 规模 过 大 时 网 络 性 能 降低 
防止 网 络 风暴 ,自动 寻 径 、 中间 节 | 易 成 为 网 络 瓶颈 ， 网 络 次 
局 分 组 存储 转发 | 点 差错 控制 、 流 量 控制 源 共 享 度 降 低 
本 服务 专用 性 强 ， 应 用 范围 
传输 层 以 上 | 协议 转换 互 联 层 次 高, 与 用 户 信息 直接 接 甬 | 中 地 入 作 


网 络 互联 设备 主要 包括 中 继 器 、 集 线 器 、 网 桥 、 交 换 机 、 路 由 器 、 网 关 等 ， 各 种 互 
联 设备 工作 的 层次 、 工 作 原 理 、 实 现 方式 如 图 2-1 所 示 。 

1. 中 继 器 

中 继 器 是 最 简单 的 互联 设备 ， 它 的 作用 是 放大 电信 号 ， 扩 大 网 络 的 地 理 覆 盖 范 围 。 
中 继 器 工作 在 ISO 的 最 低层 一 一 物理 层 ， 它 可 以 使 介质 错误 仅 局 限于 一 段 网 络 内 ， 而 不 
会 对 其 他 段 造成 影响 。 

中 继 器 只 使 用 在 早期 基于 总 线 型 的 局 域 网 络 内 ， 主 要 使 用 的 介质 是 粗 同 轴 电 线 或 细 
同 轴 电 缆 ， 并 且 在 综合 布线 中 大 量 使 用 中 继 器 进行 水 平 互 连 。 

2. 集线器 

集线器 (hub) 是 局 域 网 内 连接 服务 器 与 主机 的 主要 设备 ， 工 作 在 OSI 参考 模型 的 
物理 层 ， 有 信号 放大 作用 。 

从 局 域 网 络 拓扑 结构 来 看 ， 集 线 器 的 出 现 使 得 早期 不 稳定 的 总 线 型 网 络 被 星 型 网 络 
所 替代 ， 集 线 器 的 使 用 如 图 2-2 所 示 。 集 线 器 类 似 于 一 根 被 压缩 于 一 个 点 的 总 线 ， 与 总 
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a1 


线 相 比 具 有 信号 放大 的 功能 。 
信号 放大 ， 扩 充 网 络 通信 和 距离， 限制 


中 继 器 一 一 EN 
Cepeater) 媒介 质 错误 影响 于 一 段 内 独立 型 
物理 层 
互联 六 结构 堆 和 三 型 
信号 放大 ， 主 机 连接 入 网 ， 限 制 
集线器 一 一 人 < 模块 化 型 
2 限制 错误 影响 于 一 个 端口 je 
~ 功能 | 
普通 
本 地 桥 
连接 范围 
远程 桥 
帧 过 滤 与 转发 ， 网 络 分 段 ， 低 层 内 部 桥 
网 条 协议 转换 相 
(bridge) 外 部 桥 
透明 网 桥 
路 径 选 择 
刍 路 展 源 路 由 网 桥 
互联 
直通 交换 机 
交换 实现 
存储 转发 交换 机 
交换 机 一 一 数据 存储 转发 ， 网 络 分 段 4 
(switch) ATM 交换 机 
适用 协议 4 以 太 网 交换 机 
DDN 交换 机 
中 心路 由 
六 作用 
网 络 层 古话 三 网 络 互 连 ， 屏 蔽 网 络 风暴 ， 边界 路 由 
互联 和 路 径 选择 ， 访 问 控制 过 二 | 微 处 理 器 型 
村 由 专用 硬件 型 
应 用 层 二 
一 关 一 一 ”高 层 网 络 互 联 、 应 用 数据 协议 转换 
(gateway) 
图 2-1 互联 设备 分 类 
3. 网 桥 


网 桥 是 一 种 在 数据 链 路 层 实现 互联 的 设备 ， 在 网 段 之 间 进 行 数据 帧 的 接收 、 存 储 与 
转发 。 数 据 链 路 层 分 为 逻辑 链 路 控制 子 层 (LLC) 和 媒体 访问 控制 子 层 (MAC) 两 部 分 ， 
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LLC 用 于 子 网 间 路 径 选 择 ，MAC 用 于 介质 访问 以 及 数据 帧 的 成 帧 等 处 理 。 网 桥 互 联 的 
网 络 可 以 是 异 构 网 络 ， 其 异 构 性 表现 为 相同 的 逻辑 链 路 控制 子 层 而 媒体 访问 控制 子 层 不 
一 致 。 网 桥 的 作用 主要 是 异 构 局 域 网 络 互联 、 数 据 帧 转发 、 路 径 选择 等 ， 在 早期 的 网 络 


图 2-2 集线器 使 用 示意 图 


网 桥 按 连接 范围 分 为 本 地 桥 和 远程 桥 ， 按 实现 方式 分 为 内 部 桥 和 外 部 桥 ， 根 据 路 径 
选择 方法 分 为 透明 网 桥 和 源 路 由 网 桥 。 在 这 三 种 分 类 方式 中 ， 按 路 径 选 择 方法 进行 分 类 
的 意义 较 大 ， 不 同类 网 桥 的 原理 及 实现 方法 不 同 。 

透明 网 桥 不 允许 元 余 桥 设备 出 现 ， 具 有 自学 习 功 能 ， 可 以 根据 学 习 到 的 MAC 地 址 
分 布 情况 进行 数据 帧 转发 ， 在 网 络 互联 时 ， 通 过 生成 树 算法 避免 网 桥 环 路 的 出 现 。 源 路 
由 网 桥 是 指 在 帧 内 包含 了 帧 的 路 由 信息 ， 从 而 使 网 桥 根 据 路 由 信息 进行 帧 转发 ， 而 路 由 
信息 则 是 依据 侦 测 数据 帧 进行 广播 后 目标 主机 响应 的 最 优 路 径 产 生 。 

4. 以 太 网 交换 机 

随 着 网 络 的 不 断 发 展 ， 网 络 用 户 的 不 断 增加 ， 共 享 总 线 型 局 域 网 内 用 户 数量 激增 ， 
冲突 发 生 频 率 增加 ， 单 个 用 户 可 用 带宽 减少 ， 网 络 效率 降低 。 随 之 产生 的 解决 方法 称 为 
“网 络 微 化 ”， 就 是 将 一 个 共享 型 局 域 网 切割 为 多 个 微型 局 域 网 段 ， 网 段 之 间 通 过 桥接 或 
路 由 互 连 ， 其 实质 在 于 将 广播 域 划分 为 多 个 冲突 域 ， 这 样 网 络 成 本 增加 ， 互 连 设备 成 为 
网 络 瓶 颈 。 网 络 进一步 发 展 时 ， 每 一 个 段 内 很 快 又 增加 了 大 量 用 户 ， 使 得 微 化 后 的 段 内 
又 开始 出 现 相同 的 情况 ， 因 此 ， 网 络 微 化 不 是 最 终 解决 方法 ， 而 交换 或 局 域 网 的 出 现 才 
是 这 一 类 问题 的 最 好 解决 方法 。 

交换 式 网 络 在 现 有 的 情况 下 ， 主 要 是 通过 交换 式 设备 一 一 以 太 网 交换 机 来 实现 互 
连 。 以 集线器 互 连 与 以 交换 机 互 连 的 区 别 如 图 2-3 所 示 。 

交换 机 是 一 种 存储 转发 设备 ， 与 原 有 的 桥接 器 相 比 较 ， 交 换 机 每 一 个 端口 的 承载 能 
力 相当 于 桥接 器 上 的 一 段 。 交 换 机 工作 在 ISO 的 第 二 层 ， 根 据 发 送 帧 中 的 目标 MAC 地 
址 进行 转发 ， 在 交换 机 的 内 部 维护 着 MAC 地 址 表 ， 指 明 某 一 个 MAC 地 址 归属 于 哪 一 
个 端口 ， 帧 从 源 主机 到 目标 主机 的 转发 在 交换 机 内 部 实际 上 是 由 可 以 识别 源 主机 MAC 
地 址 的 端口 与 识别 目标 主机 MAC 地 址 的 端口 之 间 的 帧 转发 实现 的 。 

交换 机 的 信息 转发 有 两 种 主要 的 实现 方式 : 直通 方式 与 存储 转发 。 直 通 方式 主要 通 
过 内 部 交换 矩阵 实现 ， 在 接收 到 帧 的 源 地址 、 目 标 地 址 后 ， 查 找 内 部 MAC 地 址 表 ， 进 
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行 帧 的 转发 。 存 储 转发 方式 是 借助 于 交换 机 内 部 的 高 速 缓冲 ， 所 有 接收 到 的 帧 都 存 入 该 
缓冲 区 中 ， 在 转发 时 由 缓冲 区 进行 输出 。 存 储 转 发 方式 的 时 延 较 大 ， 但 是 由 于 其 特殊 的 
处 理 方式 ， 可 以 进行 帧 校 验 、 帧 过 滤 等 功能 的 实现 ， 相 对 于 直通 方式 ， 存 储 转 发 交换 机 
提供 的 功能 要 强大 得 多 ， 尤 其 是 大 多 数 交 换 机 都 支持 的 虚拟 网 络 功能 ， 只 能 在 存储 转发 
式 交换 机 上 实现 。 


hub 内 部 的 中 心 互 连 
switch 内 部 的 交换 矩阵 互 连 


图 2-3 集线器 互联 与 交换 机 互联 的 区 别 


关于 交换 机 ， 一 般 运 用 在 网 络 主干 上 ， 特 指 高 速 传输 主干 ， 在 现行 网 络 条 件 下 ， 网 
络 主干 传输 率 多 在 1000Mbps 以 上 , 100Mbps 的 交换 设备 已 经 逐步 演变 成 为 桌面 级 设备 ， 
也 就 是 现在 较为 流行 的 “ 百 兆 交换 到 桌面 >。 虚拟 网 络 是 现代 交换 机 屏蔽 网 络 风暴 的 一 种 
方式 ， 交 换 机 将 一 个 大 的 广播 域 划分 为 几 个 小 网 段 ， 每 一 个 网 段 就 是 逻辑 上 的 独立 广播 
域 ， 网 段 之 间 的 通信 必须 通过 三 层 设备 一 一 路 由 器 进行 互联 ， 虚 拟 网 络 是 目前 突破 网 络 
地 理 局 限 性 的 较 好 方式 。 

5. 路 由 器 

路 由 器 是 工作 在 网 络 层 的 互联 设备 ， 是 可 以 屏蔽 网 络 广播 风暴 的 有 效 网 络 设备 。 路 
由 器 的 功能 较 多 ， 如 图 2-4 所 示 。 

目前 路 由 器 上 所 运行 的 路 由 算法 较为 复杂 ， 种 类 繁多 ， 一 般 来 说 ， 路 由 算法 主要 使 
用 两 种 算法 ， 分 别 是 静态 路 由 算法 与 动态 路 由 算法 ， 如 图 2-5 所 示 ， 其 中 动态 路 由 算法 
又 分 为 矢量 路 径 算 法 、 链 路 状态 算法 与 层次 型 算法 。 无 论 是 静态 路 由 还 是 动态 路 由 ， 最 
本 质 的 目的 都 是 在 维护 一 张 路 由 表 ， 在 数据 包 到 来 时 ， 查 找 路 由 表 ， 找 到 最 为 匹配 的 路 
由 信息 而 决定 数据 包 的 路 由 。 动 态 路 由 的 优点 是 可 以 根据 网 络 的 当前 状态 〈 互 连 情况 、 
拥塞 情况 等 ) 自动 修改 路 由 信息 ， 动 态 路 由 算法 都 有 4 个 阶段 : 测量 一 报告 一 更 新 一 决 
策 ， 该 类 算法 定期 测量 相关 的 网 络 参数 ， 并 且 向 参与 算法 的 路 由 器 进行 报告 ， 各 路 由 器 
根据 参数 自动 进行 路 由 表 更 新 ， 而 决策 是 指数 据 包 根据 路 由 表 进 行路 由 选择 的 过 程 。 

现代 路 由 产品 一 般 分 为 两 大 类 ， 一 类 是 用 于 网 络 外 围 ， 实 现 园区 网 络 与 外 界 互联 的 
边界 路 由 器 ， 另 一 类 是 用 于 园区 网 络 内 部 各 子 网 之 间 互 联 及 信息 传递 的 中 心路 由 器 。 
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流量 控制 ， 阻 塞 控制 

子 网 隔离 ， 抑 制 广播 风暴 

运行 路 由 算法 ， 维 护 路 由 表 
路 由 功能 | 


网 络 层 数据 包 存 储 转 发 
互联 功能 | 


路 由 器 
功 能 


路 由 选择 ， 根 据 路 由 表 提供 最 优 路 径 


数据 包 过 滤 
安全 功能 | 


访问 控制 
计 费 功能 


2-4 路 由 器 功能 


常用 路 径 静态 路 由 算法 
选择 算法 矢量 路 径 算 法 一 RIP、IGRP 
动态 路 由 算法 链 路 状态 算法 一 OSPF 
层次 型 算法 
图 2-5 常用 路 由 算法 


6. 网 关 

网 关 的 互联 是 在 网 络 层 以 上 ， 具 体 地 说 ， 大 多 数 的 网 关 是 在 应 用 层 实现 互联 。 网 关 
通常 由 软件 实现 , 运行 于 服务 器 或 普通 计算 机 上 ， 以 实现 不 同体 系 结构 网 络 之 间或 LAN 
与 主机 之 间 的 连接 。 由 于 网 关 是 在 较 高 的 层次 上 互联 ， 所 以 不 可 能 有 通用 网 关 ， 只 可 能 
针对 某 一 特定 应 用 而 言 ， 比 如 电子 邮件 网 关 、 远 程 终端 仿真 网 关 等 各 种 用 途 的 网 关 。 


2.1.3 ”网 络 性 能 


在 进行 网 络 设计 时 ， 对 网 络 性 能 参数 的 考虑 是 设计 工作 的 重点 内 容 之 一 ， 需 要 考虑 
的 网 络 性 能 参数 包括 响应 时 间 、 吞 吐 量 、 延 迟 、 带 宽 、 容 量 等 。 

1， 响 应 时 间 、 延 迟 和 等 待 时 间 

响应 时 间 、 延 迟 和 等 待 时 间 是 网 络 的 重要 特性 。 每 个 特性 都 将 对 网 络 的 性 能 产生 
影响 。 

响应 时 间 是 指 以 计算 机 或 终端 向 远 端 资源 发 出 请 求 时 间 为 起 点 ， 以 该 设备 接收 到 数 
据 响应 的 时 间 为 终点 , 两 个 时 间 之 间 的 差 值 , 这 个 时 间 直 接 影 响 到 用 户 操作 的 响应 效果 ， 
是 评估 网 络 用 户 体验 的 关键 值 。 一 般 来 说 ， 响 应 时 间 与 网 络 设备 的 处 理 器 、 电 路 的 工作 
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情况 有 关 。 

响应 时 间 根 据 网 络 结构 可 以 分 为 主 从 结构 、 对 等 结构 、 两 层 结 构 、 三 层 结构 、 多 层 
结构 的 响应 时 间 。 

1) 主 从 结构 中 的 响应 时 间 

主 从 结构 是 指 网 络 发 展 早期 的 大 型 主机 十 终端 的 结构 ， 在 该 结构 中 ， 主 机 和 终端 间 
存在 着 通信 前 置 机 和 通信 集中 器 。 图 2-6 给 出 了 主 从 结构 中 的 响应 时 间 组 成 部 分 。 从 图 
中 可 以 看 出 ， 该 结构 的 响应 时 间 是 设备 上 的 延迟 和 线路 延迟 时 间 之 和 ， 是 数据 通过 网 络 
中 的 每 一 部 分 所 用 时 间 之 和 ， 每 一 个 设备 、 通 信 连 接 以 及 处 理 过 程 的 自身 延迟 都 包含 在 
整个 响应 时 间 之 内 。 

5 利生 等 待 时 间 等 待 时 间 


E 迟 路 延迟 
名 将 各 (通知 儿 颖 六 4 轮 询 延 迟 


通信 前 置 机 通信 集中 器 终端 
大 型 主机 
条目 经 器 
的 操作 
来 百 主机 Se 
的 数据 
图 2-6 主 从 结构 中 的 响应 时 间 
响应 时 间 的 组 成 如 下 : 
Q@ 轮 询 延 迟 。 


由 于 通信 集中 器 不 仅仅 要 处 理 一 台 终 端的 通信 ， 因 此 存在 着 分 时 机 制 ， 由 通信 集中 
器 对 终端 进行 轮 询 ， 这 是 在 不 平衡 数据 通信 配置 结构 中 控制 主 从 节点 间 进 行 通信 的 一 种 
方法 。 如 果 网 络 终端 有 数据 需要 发 送 ， 它 必须 一 直 等 到 通信 集中 器 对 其 进行 轮 询 时 ， 才 
能 发 送 数 据 。 

@ 链 路 延迟 。 

链 路 延迟 与 在 指定 链 路 上 传输 数据 的 速度 相关 。 链 路 的 速度 越 快 ， 在 两 点 间 传 输 数 
据 的 速度 越 快 ， 则 所 需 延 迟 就 越 短 。 

@ 等 待 时 间 。 

等 待 时间 是 指 网 络 设备 《如 通信 前 置 机 、 通 信 集 中 器 ) 在 收 到 数据 包 后 进行 数据 重 
组 和 发 送 所 耗费 的 时 间 。 

@ CPU 延迟 。 

CPU 延迟 指 的 是 大 型 主机 的 CPU 处 理 网 络 请 求 所 需要 的 时 间 ，CPU 的 繁忙 程度 、 
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任务 的 级 别 、 任 务 队列 长 度 等 直接 决定 了 请 求 处 理 的 时 间 。 

2) 对 等 结构 中 的 响应 时 间 

在 对 等 结构 中 ， 网 络 中 的 大 多 数 主机 都 可 以 独立 运行 ， 具 有 运算 和 处 理 能 力 ， 所 有 
主机 的 运算 和 处 理 能 力 相同 ， 既 可 能 是 服务 的 提供 者 ， 也 可 能 是 服务 的 享用 者 。 

对 等 结构 一 般 存 在 于 对 等 网 络 中 ， 该 类 型 网 络 一 般 采 用 总 线 结构 ， 如 图 2-7 所 示 。 


处 理 延迟 
网 卡 延迟 4 网 卡 延迟 

ye yu 
<s 人 


计算 机 计算 机 


网 络 总 线 匹配 电阻 


图 2-7 对 等 结构 中 的 响应 时 间 


在 对 等 网 络 结构 中 ， 影 响 响 应 时 间 的 因素 主要 包括 : 

@ 网 卡 延 迟 。 

网 卡 延 迟 指数 据 通过 网 卡 发 送 到 网 络 线路 上 的 延迟 ， 影 响 该 延迟 的 主要 因素 包括 介 
质 访问 冲突 和 吞吐 率 。 一 般 来 说 ， 在 共享 介质 中 ,介质 上 连接 的 主机 越 多 ， 发 生 冲 突 的 
可 能 性 就 越 大 ， 导 致 数据 发 送 开发 时 间 推 后 ， 延 迟 时 间 加 长 ， 另 外 ， 一 个 相同 长 度 的 数 
据 帧 ， 在 不 同 的 媒体 访问 机 制 下 进行 数据 发 送 时 ， 由 于 吞吐 量 不 同 ， 需 要 的 数据 转换 成 
为 信号 的 时 间 不 同 ， 也 会 影响 网 卡 延 迟 。 在 对 等 网 络 中 ， 当 主机 上 的 一 个 应 用 程序 提出 
一 个 网 络 连接 请 求 时 ， 就 会 产生 一 个 延迟 用 于 网 卡 处 理 请 求 并 访问 物理 介质 ， 进 行 数据 
发 送 。 

@ 物理 介质 延迟 。 

物理 介质 延迟 是 指 信号 从 发 送 方 网 卡 传递 到 接收 方 网 卡 的 时 间 ， 该 时 间 的 长 短 取 决 
于 信号 在 介质 上 的 传递 速度 和 介质 的 长 度 。 一 般 来 说 采用 相同 的 介质 和 信号 传递 方式 ， 
则 物理 介质 延迟 时 间 是 相同 的 。 

@ 处 理 延迟 。 

由 于 接收 方 要 对 数据 进行 重组 ,并 进行 处 理 , 生 成 响应 数据 ， 必 然 会 产生 处 理 延迟 。 
处 理 延迟 和 数据 包 的 大 小 、 处 理工 作 量 相关 。 

3) 两 层 结 构 中 的 响应 时 间 

两 层 结构 是 网 络 中 常见 的 客户 机 -服务 器 结构 , 在 网 络 中 由 部 分 运算 能 力 较 强 的 主机 
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承担 服务 器 的 角色 ， 普 通 主机 成 为 客户 机 ; 在 运行 过 程 中 ， 客 户 机 向 服务 器 发 出 请 求 ， 
通过 网 络 传递 至 服务 器 , 服务 器 根据 请 求 进行 处 理 , 形成 应 答 再 通过 网 络 传递 至 客户 机 。 
两 层 结构 中 的 响应 时 间 指 的 是 服务 器 响应 客户 工作 站 提出 的 请 求 所 用 的 时 间 ， 如 图 2-8 
所 示 。 


服务 器 延迟 
网 卡 延迟 网 卡 延 迟 
SY v] 物理 介质 延迟 be € 
<S 服务 器 
计算 机 WAN 
交换 机 路 由 器 人 路 由 器 交换 机 
上 网 络 延迟 | 
服务 器 返 
回 的 应 答 


图 2-8 两 层 结构 中 的 响应 时 间 


在 这 种 结构 中 ， 影 响 响应 时 间 的 因素 主要 有 网 卡 延 迟 、 物 理 介质 延迟 、 服 务 器 延迟 、 
网 络 延迟 等 构成 ， 其 中 网 卡 延迟 、 物 理 介 质 延 迟 与 对 等 结构 相同 。 

@ 服务 器 延迟 。 

由 于 处 理 器 的 速度 和 服务 器 处 理 请 求 的 平均 数量 不 同 ， 服 务 器 响应 时 间 可 能 会 有 很 
大 的 变化 。 影 响 服 务 器 延迟 的 因素 是 队列 延迟 和 磁盘 存 取 延迟 。 

@ 网 络 延 迟 。 

网 络 延迟 是 两 层 结构 中 较为 特殊 的 延迟 ， 由 于 客户 机 、 服 务 器 可 能 分 属于 不 同 的 局 
域 网 络 ， 一 次 请 求 和 应 答 的 过 程 ， 可 能 会 穿越 多 个 局 域 网 和 广域网 ， 请 求 和 应 答 在 这 些 
网 络 中 由 于 要 通过 多 种 网 络 设备 进行 存储 和 转发 ， 因 此 网 络 延迟 具有 不 确定 性 。 一 般 来 
说 ， 网 络 延 迟 主要 来 自 于 路 由 设备 ， 由 路 由 器 间 的 跳 数 、 路 由 设备 的 繁忙 程度 决定 ， 由 
局 域 网 交换 设备 产生 的 网 络 延 迟 要 明显 小 于 路 由 器 。 

因此 ， 当 请 求 / 应 答 通信 流通 过 公共 广域网 的 时 候 ， 响 应 时 间 就 会 发 生 很 大 变化 。 
例如 ， 当 使 用 Intemet 时 ， 响 应 时 间 就 会 产生 很 大 变化 ， 甚 至 会 因为 超时 而 断 开 网 络 连 
接 。 这 类 网 络 延迟 非常 难以 预测 ， 而 且 会 随时 间 而 产生 变化 。 

4) 三 层 结构 中 的 响应 时 间 
三 层 结构 是 指 由 表示 层 、 应 用 层 、 数 据 层 形成 的 网 络 处 理 模式 ， 是 对 两 层 结构 的 扩 
已 经 逐步 取代 两 层 结构 成 为 当前 网 络 的 主流 处 理 模式 。 在 三 层 结构 中 ， 由 客户 机 负 


洒 
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责 与 用 户 的 交互 ， 在 客户 机 上 不 进行 应 用 软件 的 部 署 ， 通 常 通过 浏览 器 承担 数据 展现 ; 
应 用 层 由 存放 应 用 业务 逻辑 的 应 用 服务 器 构成 ， 通 常 包 括 Web 和 应 用 程序 的 运行 环境 ; 
数据 层 一 般 为 单纯 的 数据 库 服 务 器 。 三 层 结构 中 的 响应 时 间 是 指 从 客户 机 提出 请 求 ， 至 
数据 层 的 响应 通过 应 用 层 返 回 客户 机 的 时 间 ， 如 图 2-9 所 示 。 

应 用 品名 匀 更 则 二 任务 没 


本 a | 
务 吕 务 器 


交换 机 路 由 器 


- 网络 延迟 -| 


物理 介质 延迟 


客户 机 六 
出 的 请 求 


服务 里 
加 的 各 血 


图 2-9 三 层 结 构 中 的 响应 时 间 


与 两 层 结 构 相 比较 ， 三 层 结构 中 影响 响应 时 间 的 因素 ， 主 要 增加 了 服务 器 所 在 局 域 
网 内 部 的 服务 器 之 间 的 延迟 ， 包 括 应 用 服务 器 延迟 和 数据 库 服务 器 延迟 ， 同 时 也 增加 了 
局 域 网 内 部 通信 的 延迟 。 

应 用 服务 器 延迟 。 

由 于 应 用 服务 器 要 对 提交 给 Web 服务 器 的 请 求 进行 处 理 , 并 形成 对 数据 库 服务 器 的 
数据 请 求 ， 会 产生 应 用 服务 器 延迟 。 应 用 服务 器 的 延迟 主要 由 并 发 用 户 进程 数量 、CPU 
繁忙 程度 等 决定 。 

@ 数据 库 服务 器 延迟 。 

数据 库 服务 器 延迟 是 数据 库 服 务 器 针对 数据 检索 请 求 进行 处 理 ， 并 产生 数据 集结 果 
而 产生 的 响应 延迟 ， 该 延迟 主要 由 并 发 用 户 数量 、CPU 繁忙 程度 、 磁 盘 IO 繁忙 程度 等 
因素 决定 。 

@ 局 域 网 内 部 通信 延迟 。 
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由 于 应 用 服务 器 和 数据 库 服 务 器 在 一 次 响应 过 程 中 间 ， 会 产生 一 次 或 多 次 交互 ， 这 
些 交 互 多 通过 局 域 网 完成 ， 因 此 形成 了 局 域 网 内 部 通信 延迟 ， 该 延迟 主要 由 局 域 网 设备 
通信 速率 、 局 域 网 设备 繁忙 程度 等 隐私 决定 。 

5) 多 层 结构 中 的 响应 时 间 

多 层 结构 是 为 了 大 型 应 用 系统 、 数 据 中 心 的 建设 需要 ， 在 原 有 三 层 结构 基础 上 ， 将 
应 用 服务 器 层次 ， 划 分 为 多 个 层次 的 网 络 处 理 模 式 。 该 结构 中 的 响应 时 间 ， 相 对 于 三 层 
结构 ， 主 要 增加 了 多 个 服务 器 的 处 理 延迟 ， 以 及 服务 器 间 多 次 交互 而 形成 的 多 次 局 域 网 

2. 利用 率 

利用 率 描述 设备 在 使 用 时 所 能 发 挥 的 最 大 能 力 。 在 网 络 分 析 与 设计 过 程 中 ， 通 常 考 
虑 以 下 两 种 类 型 的 利用 率 。 

。 CPU 利用 率 。 

。 链 路 利用 率 。 

1) CPU 利用 率 

CPU 利用 率 指 的 是 在 处 理 网 络 发 出 的 请 求 和 做 出 响应 时 处 理 器 的 繁忙 程度 。 网 络 设 
备 互联 (如 路 由 器 ) 要 处 理 的 数据 包 越 多 ， 所 耗费 的 CPU 时 间 就 越 长 。 由 于 任何 设备 的 
CPU 处 理 能 力 都 是 有 限 的 ,一旦 出 现 处 理 能 力 小 于 待 处 理 业务 要 求 时 ， 就 会 形成 待 处 理 
业务 队列 ， 尚 未 获得 处 理 机 资源 的 进程 ， 就 会 进入 队列 中 进行 等 待 ， 直 至 获得 处 理 机 资 
源 而 被 唤醒 。 

路 由 器 的 CPU 利用 率 将 直接 关系 到 网 络 的 性 能 ， 当 路 由 器 的 CPU 利用 率 超 过 了 某 
个 值 后 ， 路 由 器 不 能 及 时 处 理 涌 入 的 数据 包 ， 网 络 的 整体 性 能 就 会 随 之 下 降 。 在 实际 应 
用 中 , 因为 路 由 器 必须 处 理 转发 数据 以 外 的 事务 ,路 由 器 有 效 最 大 利用 率 一 定 低 于 100%。 
例如 ， 各 个 路 由 器 之 间 需 要 交换 数据 来 维护 路 由 表 ， 许 多 设备 保存 管理 信息 ， 并 要 求 相 
应 的 网 络 管理 命令 。 随 着 设备 越 来 越 复 杂 , 就 必须 利用 更 多 的 CPU 时 间 来 处 理 这 些 额 外 
的 事务 。 

2) 链 路 利用 率 

链 路 利用 率 指 的 是 链 路 总 带宽 的 有 效 使 用 百分比 。 在 网 络 实际 运行 过 程 中 ， 链 路 带 
宽 等 资源 不 一 定 会 被 全 部 占用 ， 因 此 链 路 利用 率 是 一 个 动态 变化 的 值 。 例 如 ， 购 买 了 一 
条 ISDN-PRI 线路 ， 它 有 30 条 64Kbps 的 数据 信道 (B 信道 ) 和 1 条 16kbps 的 控制 信道 
(D 信道 ), 最 大 带宽 为 2.048Mbps， 如果 当前 只 充分 利用 了 6 条 数据 信道 ， 则 这 条 线路 的 
利用 率 就 是 (6X64) / (30X64+16) X100% 守 19.83%, 即 当 前 的 链 路 利用 率 为 19.83%。 

3. 网 络 数 据 传输 率 和 吞吐 量 

1) 网 络 数据 传输 率 

在 计算 机 网 络 中 ， 数 据 传输 率 和 带宽 是 两 个 不 同 ， 但 又 关联 的 概念 。 

带宽 : 指 某 个 信号 具有 的 频带 宽度 ， 其 单位 是 赫兹 (Hz)。 一 般 来 说 ， 通 信 线 路 允 
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许 通过 的 信号 频带 范围 就 称 为 线路 的 带宽 。 

数据 传输 率 : 信道 上 可 以 传输 数据 的 最 大 速率 ， 在 计算 机 网 络 中 ， 无 论 数 字 信 号 、 
模拟 信号 都 用 于 传递 数字 数据 ， 因 此 其 单位 为 比特 每 秒 (bps)。 

如 前 面 章节 所 描述 ， 一 般 来 说 ， 线 路 的 带宽 越 大 ， 其 允许 的 数据 传输 率 就 越 高 ， 同 
时 ， 人 们 已 经 习惯 用 带宽 来 等 同 于 线路 上 的 数据 传输 率 ， 实 际 上 ， 两 者 之 间 有 一 定 的 联 
系 ， 但 并 不 是 相等 的 关系 。 表 2-2 中 列举 了 常见 数据 传输 技术 的 数据 传输 率 。 


表 2-2 常见 技术 的 数据 传输 率 


技术 类 型 数据 传输 率 物理 媒体 应 用 环境 
本 地 和 远程 低速 访问 ， 主 要 用 于 偏 
拨号 线路 14.4 一 56Kbps 双 绞 线 远 地 区 的 网 络 访问 
租用 线路 56Kbps 小 型 商业 低速 访问 
综合 业务 数字 网 小 型 、 中 型 商业 应 用 ， 用 于 电话 和 
(ISDN) ome ee 网 络 公用 
(直接 用 400Kbps~2Mbps 无 线 电 波 te 偏远 地 区 的 低速 网 络 
帧 中 继 56Kbps~1.544Mbps 小 型 或 中 等 商业 应 用 
中 等 商业 应 用 、Internet 访问 、 端 到 
TL 1.544Mbps 双 绞 线 、 光 纤 端 网 络 连通 
中 等 商业 应 用 、Internet 访问 、 端 到 
El 2.048Mbps 双 绞 线 、 光 纤 端 网 络 连通 
主要 用 于 家 庭 、 小 型 商业 Internet 
ADSL 1.544~8Mbps 双 绞 线 访问 应 用 
和 主要 用 于 家 庭 、 中 小 型 商业 应 用 ， 
电缆 调制 解 调 器 | 512Kbps 一 52Mbps ”| 同 轴 电缆 是 实现 三 线 合 一 的 主要 技术 
以 太 网 10Mbps 同 轴 电 缆 或 双 绞 线 | 局 域 网 
令 牌 环 网 4Mbps 或 16Mbps 双 绞 线 局 域 网 
E3 34.368Mbps 双 绞 线 或 光纤 16 个 El 信号 
连接 ISP 到 Internet 基础 结构 、 大 型 
45Mbps 同 轴 电 绕 商业 应 用 
ee 51.84Mbps 同 轴 电 绕 入 于 网 校园 网 连接 Internet ISP 到 
骨干 网 
双 绞 线 、 光 纤 、 同 
快速 以 太 网 100Mbps 负电 线 高 速 局 域 网 
光纤 分 布 式 数 据 a 
接口 (FDDI) 100Mbps 光纤 局 域 网 骨干 
铜 线 分 布 式 数据 | 100Mbps 双 绞 线 主机 连通 


接口 CCDDI) 
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续 表 
技 术 类 型 数据 传输 率 物理 媒体 应 用 环境 

0C-3 155.52Mbps 大 型 公司 骨干 网 

千 兆 位 以 太 网 高 速 局 域 网 的 连通 

0C-24 光纤 Intemet 骨干 网 、 高 速 的 公司 骨干 网 

oc enet 二 二 网 


为 能 够 正常 地 发 挥 作用 ， 不 同类 型 的 应 用 需要 不 同 的 网 络 带 宽 。 一 些 典 型 应 用 的 网 
络 带 宽 如 下 。 

。 PC 通信 : 14.4 一 56Kbps。 

。 数字 音频 : 1 一 2Mbps。 

。 压缩 视频 : 2 一 10Mbps。 

。 文档 备份 : 10 一 100Mbps。 

。 非 压缩 视频 : 1 一 2Gbps。 

2) 吞吐 量 

吞吐 量 是 指 在 网 络 用 户 之 间 有 效 地 传输 数据 的 能 力 。 如 果 说 数据 传输 率 给 出 了 网 络 
所 能 传输 的 比特 数 ， 那 么 吞吐 量 就 是 它 真正 有 效 的 数据 传输 率 。 吞 吐 量 常用 来 评估 整个 
网 络 的 性 能 。 对 吞吐 量 进行 度量 的 一 种 有 效 方法 是 信息 比特 吞吐 率 〈TRIB)， 有 效 吞 吐 
量 与 响应 时 间 直 接 相 关 ， 有 效 吞 吐 量 越 高 ， 响 应 时 间 就 越 短 。 有 效 吞 吐 量 和 吞吐 量 通常 
是 等 同 的 ， 只 有 在 特别 需要 时 才 加 以 区 分 。 一 般 以 数据 包 每 秒 (PPS)、 字 符 每 秒 (CPS)、 
事务 处 理 数 每 秒 〈TPS ) 或 事务 处 理 数 每 小 时 〈TPH) 作为 吞吐 量 的 单位 。 

影响 吞吐 量 的 因素 如 下 : 

。 协议 效率 ， 不 同 的 协议 传输 数据 的 效率 不 同 。 

。 服务 器 /工作 站 CPU 类 型 。 

。 网 卡 (NIC) 类 型 。 

。 局 域 网 CLAN) / 链 路 容量 。 

。 响应 时 间 。 

事务 处 理 数 每 秒 和 事务 处 理 数 每 小 时 是 最 常用 的 度量 吞吐 量 的 单位 , 例如 , 7200TPH 
或 者 2TPS。 仅 知道 TPH 还 不 足以 衡量 整个 网 络 的 性 能 ， 还 必须 知道 TPH 的 平均 大 小 和 
一 天 中 什么 时 间 发 生 的 TPH。 

4. 可 用 性 、 可 靠 性 和 可 恢复 性 

1) 可 用 性 

可 用 性 是 指 网 络 或 网 络 设备 〈 如 主机 或 服务 器 ) 可 用 于 执行 预期 任务 时 间 所 占 总 量 
的 百分比 。 可 用 性 百 分 值 越 高 ， 就 意味 着 设备 或 系统 出 现 故 障 的 可 能 性 越 小 ， 提 供 的 正 
常服 务 时 间 越 多 。 例 如 ， 一 个 可 提供 每 天 24 小 时 、 每 周 7 天 服务 的 网 络 ， 如 果 网 络 在 
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168 小 时 一周 ) 之 内 运行 了 160 小 时 ， 出 现 了 4 个 小 时 的 故障 排除 ， 则 该 网 络 的 可 用 
性 为 160/ (7X24) X100%=95.23%。 

可 用 性 通常 表示 平均 可 运行 时 间 ，95% 可 用 性 意味 着 1.2 小 时 / 天 的 停机 时 间 ， 而 
99.99% 的 可 用 性 则 表示 8.7 秒 / 天 的 停机 时 间 。 

对 于 大 多 数 设 备 来 说 ， 可 用 性 百分之百 是 不 可 能 的 ， 但 是 对 于 一 个 网 络 或 者 系统 来 
说 ， 则 可 以 做 到 可 用 性 百分之百 ; 为 了 保证 一 个 系统 能 够 不 间断 地 提供 服务 ， 必 须 采用 
特殊 的 设计 ， 例 如 设备 元 余 、 负 载 均 衡 等 ， 避 免 单个 设备 的 故障 对 系统 服务 产生 影响 ， 
这 种 设计 也 被 称 为 无 单 点 故障 设计 。 

2) 可 靠 性 

可 靠 性 是 网 络 设备 或 计算 机 持续 执行 预定 功能 的 可 能 性 。 可 靠 性 经 常用 平均 故障 间 
隔 时 间 (MTBF) 来 度量 。 这 种 可 靠 性 度量 也 适用 于 硬件 设备 和 整个 系统 。 它 表示 了 系 
统 或 部 件 发 生 故 障 的 频率 。 例 如 ， 一 个 MTBF 如 果 为 5800 小 时 ， 则 意味 着 大 约 每 8 个 
月 可 能 发 生 一 次 故障 。 

在 网 络 设计 中 ， 可 靠 性 设计 主要 考虑 下 述 问 题 : 

。 一 个 特殊 设备 在 网 络 中 发 生 故 障 的 可 能 性 有 多 大 ? 

。 设备 的 故障 是 否 会 导致 网 络 的 崩 演 ? 

。 网 络 的 故障 将 会 对 企业 的 生产 力 产 生 什 么 样 的 影响 ? 

可 靠 性 与 可 用 性 紧密 相关 。 它 们 都 是 企业 计算 环境 设计 的 目标 。 可 用 性 可 用 来 度量 
可 靠 性 ， 可 用 性 越 高 ， 可 靠 性 越 好 。 

3) 可 恢复 性 

可 恢复 性 是 指 网 络 从 故障 中 恢复 的 难 易 程 度 和 时 间 。 可 恢复 性 即 指 平均 修复 时 间 
(MTTR)。 平 均 修复 时 间 用 来 估算 当 故 障 发 生 时 ， 需 要 花 多 长 时 间 来 修复 网 络 设备 或 系 
统 。 影 响 MTTR 的 因素 有 以 下 一 些 : 

。 维护 人 员 的 专业 知识 。 

。 设备 的 可 用 性 。 
维护 合同 协议 。 

发 生 时 间 。 
设备 的 使 用 年 限 。 
故障 设备 的 复杂 程度 。 

在 设备 或 系统 方面 ， 不 同 的 设备 需要 不 同 级 别 的 可 恢复 性 。 例 如 ， 数 据 中 心 的 核心 
交换 设备 一 旦 出 现 故 障 ， 其 修复 难度 将 远 远 大 于 楼 栋 交 换 机 的 修复 难度 。 

需要 说 明 的 是 ， 可 恢复 性 指标 主要 是 通过 平均 修复 时 间 来 说 明 修复 工作 的 难 易 程 度 
的 ， 这 种 评估 方法 是 从 用 户 角度 来 衡量 网 络 的 关键 指标 ， 其 核心 思想 是 相同 的 故障 ， 在 
管理 水 平 不 同 的 网 络 中 ， 其 修复 时 间 是 不 同 的 ， 用 户 所 承受 的 网 络 损失 也 不 同 。 在 实际 
的 网 络 维护 工作 中 ， 管 理 人 员 可 以 通过 良好 的 管理 制度 ， 例 如 定期 设备 巡 检 、 设 备 配置 
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备份 、 充 足 的 元 余 设备 备份 等 ， 来 减少 故障 发 生 时 的 修复 时 间 ， 从 而 达到 提高 整个 网 络 
可 恢复 性 的 目的 。 

S. 元 余 度 、 适 应 性 、 可 伸缩 性 

1) 元 余 度 

宛 余 设备 是 指 为 避免 由 于 单 台 设备 故障 而 导致 网 络 停止 服务 而 增加 的 网 络 设备 。 宛 
余 线路 是 指 为 了 防止 线路 或 链 路 失效 ， 导 致 网 络 不 连通 而 增加 的 多 余 线路 。 宛 余 度 是 另 
一 个 在 网 络 设备 和 系统 设计 与 实施 中 需要 考虑 的 因素 ， 主 要 通过 在 网 络 设计 中 增加 元 余 
设备 、 宛 余 线路 等 方式 ， 来 避免 设备 或 线路 失效 对 网 络 产生 影响 。 随 着 计算 机 网 络 技术 
的 发 展 ， 宛 余 度 也 不 再 仅 局 限于 设备 和 线路 层次 ， 更 多 的 宛 余 度 开 始 体现 到 网 络 设备 的 
模块 、 部 件 层次 ， 今 天 在 网 络 设计 中 ， 为 关键 网 络 设备 添加 宛 余 处 理 引擎 、 宛 余 电源 等 
方式 ， 已 经 成 为 常见 的 技术 手段 。 

(1) 元 余 线路 。 

元 余 线 路 是 指 在 局 域 网 或 广域网 的 设计 中 ， 针 对 关键 的 通信 线路 ， 通 过 提供 多 条 线 
路 ， 避 免 单条 线路 失效 而 导致 网 络 失效 。 宛 余 线 路 的 使 用 方式 ， 有 人 工 切换 方式 、 热 备 
方式 、 负 载 均衡 方式 ， 如 图 2-10 所 示 。 


Cm 》 Cia 》 远程 局 域 网 


备用 备用 
四、 = 
\ El 路 NE 
Pe 
Ped Be 
Ee 运营 前 凤 络 |》 
E 用 一 主 用 
' 155M Pa 
SDH 电路 / SDH 电路 | 4/ SPH 电路 
鸭 !/ 
Cm YC tum 》 Co 》 
SS 
(a) 人工 切换 (b) 自动 切换 (c) 负载 均衡 


图 2-10 元 余 线 路 建设 方式 


在 图 2-10 所 示 的 网 络 连接 中 , 远程 局 域 网 络 和 本 地 局 域 网 络 之 间 通 过 运营 商 提 供 的 
线路 和 路 由 器 实现 互联 。 人 工 切 换 方式 中 ， 网 络 管理 人 员 申 请 了 备用 线路 ， 在 主 用 线路 
出 现 故 障 时 ， 由 网 络 管理 人 员 将 备用 线路 连接 至 路 由 器 ， 并 启用 备用 线路 的 配置 ， 使 得 
备用 线路 生效 ;在 自动 切换 方式 中 ， 主 用 线路 和 备用 线路 都 连接 至 路 由 设备 ， 正 常 工作 
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状态 下 ， 主 用 线路 生效 ， 备 用 线路 处 于 热 备 状态 ， 由 路 由 器 自动 监测 主 用 线路 ， 一 旦 主 
用 线路 出 现 故障 ， 则 路 由 器 自动 启用 备用 线路 ， 并 切换 至 备用 线路 运行 ， 在 负载 均衡 方 
式 下 ， 网 络 管理 员 申 请 两 条 同样 或 相近 带宽 的 线路 ， 由 路 由 器 的 特定 路 由 算法 保证 两 条 
链 路 都 处 于 运行 状态 ， 两 个 网 络 中 的 流量 同时 在 两 条 线路 上 进行 传递 。 

(2) 宛 余 设备 。 

在 计算 机 网 络 中 ， 对 于 关键 设备 ， 提 供 两 个 以 上 ， 并 处 于 热 备 或 者 负载 均衡 状态 ， 
以 避免 由 于 设备 失效 而 导致 的 网 络 整 体 失效 ， 如 图 2-11 所 示 。 


图 2-11 元 余 线 路 建设 方式 


在 图 2-11 的 网 络 中 , 为 了 避免 核心 交换 机 和 服务 器 出 现 故 障 , 各 添加 了 一 台 服 务 器 
和 核心 交换 机 ; 两 台 核 心 交换 机 之 间 可 以 工作 在 热 备 状态 , 也 可 以 工作 在 负载 均衡 状态 ， 
不 同 状态 使 用 的 协议 不 同 ; 服务 器 之 间 根 据 应 用 的 需要 ,例如 如 果 是 Web 服务 器 ， 多 工 
作 在 负载 均衡 状态 ， 如 果 是 应 用 服务 器 或 者 是 数据 库 服务 器 ， 多 工作 在 热 备 状态 ， 在 这 
个 网 络 中 ， 核 心 设备 出 现 故 障 ， 服 务 会 自动 切换 到 元 余 的 设备 上 。 

(3) 元 余 模 块 。 

典型 的 元 余 模块 较 多 ， 例 如 核心 多 层 交 换 机 上 的 元 余 路 由 引擎 ， 网 络 设备 和 服务 器 
设备 上 的 元 余 电源 与 风扇 ， 服 务 期 设备 上 的 镜像 内 存 ， 存 储 设备 的 热 备 硬盘 等 。 

在 重要 的 网 络 设 计 中 ， 网 络 元 余 度 是 必须 考虑 的 内 容 ， 可 根据 用 户 的 保护 需求 以 及 
投资 概算 决定 元 余 度 的 不 同 层次 。 

2) 适应 性 

适应 性 是 指 在 用 户 改变 应 用 要 求 时 网 络 的 应 变 能 力 。 优 秀 的 网 络 设计 应 当 能 适应 新 
技术 和 新 变化 的 要 求 。 例 如 ， 使 用 笔记 本 计算 机 的 移动 用 户 对 能 访问 企业 局 域 网 来 实现 
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E-mail 和 文件 传输 服务 的 需求 正 是 对 网 络 适应 性 的 检验 。 

灵活 的 网 络 设计 还 能 适应 不 断 变 化 的 通信 模式 和 服务 质量 (QoS) 的 要 求 。 例 如 ， 
某 些 用 户 要 求 选用 的 网 络 技术 能 够 支持 提供 恒定 速率 的 服务 。 

此 外 ， 以 多 快 的 速度 适应 出 现 的 问题 和 进行 升级 也 是 适应 性 的 另 一 方面 。 例 如 ， 交 
换 机 能 以 多 快 的 速度 适应 另 一 个 交换 机 的 故障 ， 或 适应 树 状 拓扑 结构 发 生 的 变化 ， 路 由 
器 能 以 多 快 的 速度 适应 加 入 拓扑 结构 的 新 网 络 等 。 

3) 可 伸缩 性 

可 伸缩 性 是 指 网 络 技术 或 设备 随 着 用 户 需求 的 增长 而 扩充 的 能 力 。 对 于 许多 企业 网 
设计 而 言 ， 可 伸缩 性 是 最 基本 的 目标 。 有 些 企业 常 以 很 快 的 速度 增加 客户 数量 、 应 用 种 
类 以 及 与 外 部 的 连接 。 因 此 在 网 络 分 析 和 设计 时 就 应 充分 考虑 网 络 扩充 问题 。 

6. 效率 与 费用 

1) 网 络 效 率 

网 络 效率 指 的 是 用 户 传输 数据 流量 与 网 络 线路 带宽 之 间 的 比例 。 不 同 的 网 络 传输 技 
术 ， 其 网 络 效率 是 不 同 的 。 网 络 划分 成 若干 个 层次 ， 因 此 每 个 层次 间 都 存在 上 层 用 户 数 
据 与 下 层 数据 通道 的 效率 问题 ， 但 是 在 大 多 数 情 况 下 ， 网 络 设计 时 主要 考虑 数据 链 路 层 
的 网 络 效率 。 

网 络 效 率 的 计算 公式 为 效率 =《〈 帧 长 - 帧 头 和 帧 尾 ) /〈 帧 长 ) X 100%， 额 外 开销 指 
不 能 用 于 传输 用 户 数据 的 带宽 比例 ， 额 外 开销 = 1- 效率) ; 在 ATM 网 络 中 ， 由 于 信 元 
长 度 固定 为 53 个 字 节 ， 信 元 头 部 固定 为 5 个 字 节 ， 因 此 ，ATM 的 网 络 效率 为 〈53-5) 
/53 X 100%=90.5%， 额 外 开销 =1-90.5%=9.5%; 在 传统 以 太 网 络 中 ， 由 于 以 太 网 的 帧 头 
大 小 固定 ， 而 用 户 数据 不 固定 ， 但 有 最 小 帧 长 和 最 大 帧 长 ， 因 此 以 太 网 的 最 小 网 络 效率 
为 (64-18)〉/64X100%=71.9%， 最 大 额外 开销 为 28.1%， 最 大 网 络 效率 为 《1518-18) / 
1518X100%=98.8%， 最 小 额外 开销 为 0.02%， 实 际 应 用 中 ， 要 根据 以 太 网 的 平均 帧 长 来 
计算 平均 网 络 效 率 。 

2) 费用 

费用 是 建设 网 络 时 必须 考虑 的 内 容 ， 网 络 建设 费用 包括 很 多 内 容 ， 例 如 设备 购置 费 
用 、 安 装 调试 费用 、 线 路 租赁 费用 、 设 备 运 维 费用 ， 一 般 情况 下 ， 网 络 设计 人 员 会 将 网 
络 建设 费用 划分 为 两 种 ， 一 种 是 一 次 性 投入 费用 ， 另 外 一 种 是 周期 性 发 生 费 用 。 费 用 是 
网 络 建设 中 对 网 络 建设 制约 比较 大 的 因素 ， 应 根据 用 户 在 一 次 性 费用 和 周期 性 费用 方面 
的 投入 来 决定 如 何 设 计 网 络 。 


2.1.4 网 络 设计 文档 
1. 文档 的 作用 


文档 是 网 络 设计 工作 中 的 重点 环节 ， 和 覆盖 了 需求 规范 、 通 信 规 范 、 风 辑 设计 、 物 理 
设计 、 网 络 实施 、 运 营 维护 等 各 个 阶段 ， 通 过 对 网 络 分 析 、 设 计 实现 等 阶段 的 细节 进行 
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描述 ， 说 明 开发 一 个 网 络 的 步骤 。 

文档 的 编制 在 网 络 项 目 开 发 工作 中 占有 突出 的 地 位 。 高 效率 、 高 质量 地 开发 、 分 发 、 
管理 和 维护 文档 对 于 转让 、 变 更 、 修 正 、 扩 充 和 使 用 文档 ， 以 及 充分 发 挥 网 络 产品 的 效 
益 都 有 着 重要 的 意义 。 

网 络 开发 过 程 中 ， 网 络 开发 人 员 需 要 制定 一 些 工 作 计划 或 工作 报告 ， 这 些 计划 和 报 
告 要 提供 给 管理 人 员 ， 并 得 到 必要 的 支持 。 管 理 人 员 则 可 通过 这 些 文档 了 解 网 络 开 发 项 
目的 安排 、 进 度 、 资 源 使 用 和 成 果 等 。 

文档 的 重要 性 总 结 如 下 : 

。 提高 网 络 设计 过 程 中 的 可 见 度 。 把 设计 过 程 中 发 生 的 事件 以 某 种 可 阅读 的 形式 记 

录 在 文档 中 , 管理 人 员 可 以 把 这 些 记载 下 来 的 材料 作为 检查 项 目 设计 进度 和 设计 
质量 的 依据 ， 实 现 对 网 络 设计 工作 的 管理 。 

。 提高 设计 效率 。 项 目 文档 的 编制 使 得 开发 人 员 对 各 个 阶段 的 工作 都 进行 周密 思 
考 、 全 盘 权 衡 ， 从 而 减少 返工 。 并 且 可 在 开发 早期 发 现 错误 和 不 一 致 性 。 
作为 设计 人 员 在 一 定 阶段 的 工作 成 果 和 结束 标识 。 
记录 设计 过 程 中 的 有 关 信 息 ， 便 于 协调 以 后 的 系统 设计 、 使 用 和 维护 。 

。 提供 有 关系 统 的 运行 、 维 护 和 培训 的 信息 , 便于 管理 人 员 、 开 发 人 员 、 操 作 人 员 、 

用 户 之 间 的 协作 、 交 流 和 了 解 ， 使 网 络 设计 活动 更 加 科学 、 更 加 有 效 。 
。 便于 潜在 用 户 了 解 系统 的 功能 、 性 能 等 各 项 指标 ， 为 他 们 选 购 或 制订 符合 自己 需 
要 的 系统 提供 依据 。 

从 某 种 意义 上 讲 ， 文 档 是 网 络 分 析 与 设计 规范 的 体现 和 指南 。 按 规范 要 求生 成 一 套 
文档 的 过 程 ， 就 是 按照 网 络 分 析 与 设计 规范 完成 了 一 个 网 络 项 目 分 析 与 设计 的 过 程 。 所 
以 ， 在 进行 网 络 设计 的 过 程 中 ， 应 当 充 分 注意 文档 的 编制 和 管理 。 

从 形式 上 看 ， 文 档 大 致 可 以 分 为 两 类 : 一 类 是 网 络 设计 过 程 中 填写 的 各 种 图 表 ， 可 
称 为 工作 表格 ; 另 一 类 是 应 编制 的 技术 资料 或 技术 管理 资料 ， 可 称 为 文档 或 文件 。 

文档 的 编制 可 以 用 自然 语言 ， 特 别 设计 的 形式 语言 ， 或 是 介 于 两 者 之 间 的 半 形 式 语 
言 〈 结 构 化 语言 ) 以 及 各 类 图 表 和 表格 来 表示 。 文 档 可 以 书写 ， 也 可 以 在 计算 机 支持 的 
系统 中 产生 ， 但 它 必 须 是 可 以 阅读 的 。 

在 网 络 分 析 与 设计 过 程 中 ， 产 生 的 文档 有 和 需求 分 析 说 明 书 、 通 信 规 范 说 明 书 、 风 辑 
网 络 设计 说 明 书 和 物理 网 络 设计 说 明 书 ， 这 些 文档 作为 网 络 设计 人 员 前 一 阶段 工作 成 果 
的 体现 和 后 一 阶段 工作 的 依据 。 

2. 文档 的 质量 

文档 的 编制 必须 保证 质量 ， 以 发 挥 文档 的 指导 作用 ， 有 助 于 管理 人 员 监 督 和 管理 系 
统 开发 ， 有 助 于 用 户 了 解 系统 开发 的 工作 ， 有 助 于 维护 人 员 进 行 有 效 的 修改 和 扩充 。 高 
质量 的 文档 应 当 体现 在 以 下 方面 。 

(1) 针对 性 。 
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文档 编制 之 前 应 分 清 读 者 对 象 ， 根 据 不 同类 型 、 不 同 层次 的 读者 决定 文档 的 具体 
内 容 。 

(2) 精确 性 。 

文档 的 行文 应 当 十 分 确切 ， 不 能 出 现 多 义 性 的 表述 。 

(3) 清晰 性 。 

文档 编写 应 力求 简明 ， 如 有 可 能 ， 配 以 适当 的 图 表 ， 使 文档 简洁 明了 。 

(4) 完整 性 。 

任何 一 个 文档 都 应 当 是 完整 、 独 立 、 自 成 体系 的 。 

(5) 灵活 性 。 

各 种 不 同 的 项 目 系统 ， 其 规模 和 复杂 程度 有 着 许多 实际 差别 ， 需 仔细 具体 地 分 析 安 
排 其 内 容 ， 一 般 应 注意 以 下 问题 。 

Q@ 应 根据 具体 的 项 目 开 发 ， 决 定编 制 的 文档 种 类 。 

@ 当 所 开发 的 项 目 非常 大 时 ， 一 个 文档 可 以 分 为 若干 分 册 。 

@ 应 根据 任务 的 规模 、 复 杂 性 、 项 目 负 责 人 对 系统 开发 过 程 及 运行 环境 所 需 详细 
程度 的 判断 ， 确 定 文档 的 详细 程度 。 

@ 可 对 各 条 款 进 行进 一 步 细 分 ， 与 之 相反 ， 也 可 以 根据 情况 压缩 合并 。 

@ 对 文档 的 表现 形式 没有 规定 或 限制 ， 可 以 使 用 自然 语言 ， 也 可 以 使 用 形式 化 


到 


语言 。 
@@ 当 通 用 文档 类 型 不 能 满足 项 目 开发 特殊 要 求 时 ， 可 以 建立 一 些 特殊 的 文档 种 类 。 
3. 文档 的 管理 和 维护 

在 整个 网 络 生存 期 中 ， 各 种 文档 需 作为 半成品 或 是 最 终 成 品 不 断 地 生成 、 修 改 或 补 
充 。 为 了 最 终 得 到 高 质量 的 产品 ， 达 到 所 提出 的 质量 要 求 ， 必 须 加 强 对 文档 的 管理 。 对 
文档 进行 管理 时 应 注意 以 下 几 方 面 : 

(1) 网 络 开发 小 组 应 设 一 位 文档 保管 人 员 ， 负 责 集中 保管 项 目 己 有 文档 的 两 套 主 文 
本 。 两 套 文本 内 容 完全 一 致 ， 其 中 的 一 套 可 按 一 定 手续 ， 办 理 借阅 。 

(2) 网 络 开发 小 组 的 成 员 可 根据 工作 需要 自己 保存 一 些 个 人 文档 。 这 些 一 般 都 应 是 
主 文本 的 复 件 ， 并 注意 和 主 文本 保持 一 致 ， 在 做 必要 的 修改 时 ， 也 应 先 修改 主 文本 。 

(3) 开发 人 员 个 人 只 保存 主 文本 中 与 其 工作 相关 的 部 分 文档 。 

(4) 新 文档 取代 了 旧 文 档 后 ， 管 理 人 员 应 及 时 注销 旧 文 档 。 在 文档 内 容 有 变动 时 ， 
管理 人 员 应 随时 修订 主 文本 ， 使 其 反映 更 新 了 的 内 容 。 

(5) 在 软件 开发 过 程 中 ， 可 能 发 现 需要 修改 已 完成 的 文档 ， 特 别 是 针对 规模 较 大 的 
项 目 ， 主 文本 的 修改 必须 特别 谨慎 。 修 改 以 前 要 充分 估计 修改 可 能 带 来 的 影响 ， 并 且 要 
按照 提议 、 评 议 、 审 核 、 批 准 、 实 施 等 步骤 加 以 严格 的 控制 。 

C6) 项 目 开发 结束 时 ， 文 档 管理 人 员 应 回收 开发 人 员 的 个 人 文档 ， 发 现 个 人 文档 与 
主 文本 有 差别 时 ， 应 立即 着 手 解决 。 
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2.2 ”网络 分 析 与 设计 过 程 


2.2.1 网 络 规范 


当 设计 人 员 依 据 用 户 的 特定 网 络 需求 进行 分 析 和 设计 时 ， 必 须 遵循 一 定 的 处 理 规 
范 。 在 网 络 规划 过 程 中 ， 优 秀 的 、 正 规 的 设计 过 程 将 避免 设计 者 工作 过 程 中 产生 的 失误 
和 错误 ， 同 时 产生 合理 有 效 的 设计 方案 ， 并 保证 最 终 根 据 网 络 设计 形成 满足 用 户 需 求 的 
网 络 工作 环境 。 

以 下 是 由 于 设计 工作 不 遵循 规范 而 产生 的 常见 问题 ， 这 些 问 题 将 会 导致 用 户 的 网 络 
应 用 满意 度 降低 。 

1. 实施 结果 偏离 网 络 需求 

网 络 设计 规范 是 大 量 工作 经 验 的 积累 成 果 ， 履 盖 了 网 络 分 析 与 设计 过 程 中 的 方 方 面 
面 ， 不 采用 设计 规范 ， 包 括 文档 格式 、 调 查 手段 等 ， 就 会 使 得 网 络 需 求 产生 缺失 ， 同 时 
如 果 没 有 及 时 与 用 户 进行 交流 和 取得 一 致意 见 ， 设 计 者 将 不 会 清楚 实际 需求 ， 最 后 ， 也 
不 可 能 得 到 一 个 满足 需求 的 网 络 。 

2. 需求 变更 

在 网 络 的 分 析 、 设 计 以 及 实施 过 程 中 ， 用 户 的 需求 产生 变更 是 正常 的 ， 因 此 在 整个 
过 程 中 ， 必 须 有 一 套 较 为 完整 的 需求 变更 控制 机 制 ， 设 计 人 员 必 须 依据 变更 控制 规范 ， 
不 断 修正 合理 的 需求 变化 ， 对 不 合理 的 用 户 需 求 进行 劝导 和 说 服 。 需 求 变 更 控制 的 重点 
不 是 限制 用 户 的 需求 发 生变 更 ， 而 是 协助 用 户 明 确 自 身 的 需求 ， 通 过 双方 认同 的 确认 方 
式 ， 例 如 现场 讨论 、 研 讨 会 、 需 求 文档 签字 确认 等 手段 ， 使 双方 明确 需求 ， 并 明确 需求 
可 以 发 生变 动 的 领域 和 趋势 ， 从 而 保证 分 析 和 设计 工作 的 延续 性 ， 避 免 颠 覆 性 变更 。 

3. 延误 工期 或 超支 

进度 控制 和 成 本 控制 是 网 络 分 析 和 设计 工作 的 重点 ， 依 据 网 络 规范 进行 分 析 和 设计 
工作 ， 可 以 避免 工期 设计 的 不 合理 ， 也 可 以 严格 控制 网 络 建设 的 成 本 ， 同 时 通过 积累 的 
大 量 文档 模板 ， 可 以 避免 由 于 缺失 网 络 建设 工作 中 的 环节 和 事项 ， 而 导致 的 工期 延误 和 
超支 。 

4. 网 络 实施 和 设计 不 一 臻 

网 络 建设 工作 中 ， 主 要 是 购置 相应 的 产品 ， 进 行 网 络 的 构建 ， 所 有 的 设计 工作 都 必 
须 依据 特定 的 网 络 产品 ， 这 些 网 络 产品 必须 是 可 以 购置 到 的 ， 并 且 相互 之 间 可 以 实现 互 
连 。 如 果 不 遵循 网 络 规范 ， 很 容易 形成 设计 与 实施 不 一 致 ， 常 见 的 不 一 致 体现 在 以 下 
方面 。 

。 无 法 购置 到 满足 设计 要 求 的 产品 。 

。 购置 的 网 络 产品 由 于 其 产品 的 特性 ， 无 法 依据 设计 的 连接 方式 实现 互 连 。 
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。 由 于 设计 中 采用 了 非 主 流 设计 方法 ,使 得 线路 运营 商 无 法 提供 满足 设计 要 求 的 互 
连 线路 。 
。 在 实施 过 程 中 ， 发 现 现 有 设计 方案 缺乏 扩展 性 ， 而 不 得 不 重新 设计 。 
对 于 大 型 复杂 的 网 络 工程 项 目 ， 需 要 规范 化 、 文 档 高 度 精确 化 。 遵 循 规 范 进行 处 理 
并 不 会 加 大 项 目的 工作 量 ， 反 而 使 设计 者 的 工作 简单 、 高 效 和 满足 需求 。 


2.2.2 ”网 络 生命 周期 


一 个 网 络 系统 从 构思 开始 ， 到 最 后 被 淘汰 的 过 程 被 称 为 网 络 的 生命 周期 ;一般 来 说 
网 络 的 生命 周期 至 少 包括 网 络 系统 的 构思 计划 、 分 析 设 计 、 实 时 运行 和 维护 的 过 程 ， 对 
于 大 多 数 网 络 系统 来 说 ， 由 于 应 用 的 不 断 发 展 ， 这 些 网 络 系统 需要 不 断 重复 设计 、 实 施 、 
维护 的 过 程 。 

因此 ， 网 络 系统 的 生命 周期 和 软件 工程 中 的 软件 生命 周期 非常 类 似 ， 首 先是 一 个 循 
环 和 迭代 的 过 程 ， 每 次 循环 迭代 的 动力 都 来 自 于 网 络 应 用 需求 的 变更 ， 其 次 每 次 循环 过 程 
中 ， 都 存在 需求 分 析 、 规 划 设 计 、 实 施 调试 和 运营 维护 等 阶段 。 有 些 网 络 仅仅 经 过 一 个 
周期 就 被 淘汰 ， 而 有 些 网 络 在 存活 过 程 中 经 过 多 次 循环 周期 ， 一 般 来 说 ， 网 络 规模 越 大 、 
投资 越 多 ， 则 其 可 能 经 历 的 循环 周期 也 越 多 。 

1. 网 络 生 命 周 期 的 迭代 模型 

网 络 生命 周期 的 迭代 模型 的 核心 思想 是 网 络 应 用 驱动 理论 和 成 本 评价 机 制 ， 当 网 络 
系统 无 法 满足 用 户 的 需求 时 ， 就 必须 进入 到 下 一 个 迭代 周期 ， 经 过 和 帮 代 周期 后 ， 网 络 系 
统 将 能 够 满足 用 户 的 网 络 需求 ， 成 本 评价 机 制 决定 是 否 结束 网 络 系统 的 生命 周期 ， 当 对 
已 有 投资 的 再 利用 成 本 小 于 新 建 系统 的 成 本 时 ， 网 络 系统 可 以 进入 下 一 次 迭代 周期 ， 而 
再 利用 成 本 大 于 新 建成 本 时 ， 就 必须 舍弃 迭代， 终结 当前 网 络 系统 ， 新 建 网 络 系统 。 网 
络 生命 周期 的 迭代 模型 如 图 2-12 所 示 。 

2. 和 迭代 周期 的 构成 

每 一 个 迭代 周期 ， 都 是 一 个 网 络 重 构 的 过 程 ， 不 同 的 网 络 设计 方法 中 ， 对 迭代 周期 
的 划分 方式 是 不 同 的 ; 这些 划分 方式 侧重 点 不 同 ， 拥 有 不 同 的 网 络 文档 模板 ， 但 是 实施 
后 的 效果 都 是 满足 了 用 户 的 网 络 需求 ， 目 前 没有 哪个 迭代 周期 可 以 完美 描述 所 有 项 目的 
开发 构成 ， 但 是 常见 的 构成 方式 主要 有 三 种 。 

1) 四 阶段 周期 

四 阶段 周期 的 特点 是 ， 能 够 快速 适应 新 的 需求 ， 强 调 网 络 建设 周期 中 的 宏观 管理 ， 
灵活 性 较 强 。 

如 图 2-13 所 示 ，4 个 阶段 分 别 为 构思 与 规划 阶段 、 分 析 与 设计 阶段 、 实 施 与 构建 阶 
段 和 运行 与 维护 阶段 , 这 4 个 阶段 之 间 有 一 定 的 重合 , 保证 了 两 个 阶段 之 间 的 交接 工作 ， 
同时 也 赋予 了 网 络 工程 设计 的 灵活 性 。 
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图 2-12 网络 生命 周期 的 迭代 模型 


分 析 与 设计 阶段 


构思 与 规划 阶段 实施 与 构建 阶段 


时 间 轴 


图 2-13 四 阶段 周期 


构思 与 规划 阶段 的 主要 工作 是 明确 网 络 设计 或 改造 的 需求 ， 同 时 对 新 网 络 的 建设 目 
标 进行 明确 ;分 析 与 设计 阶段 的 工作 在 于 根据 网 络 的 需求 进行 设计 ， 并 形成 特定 的 设计 
方案 ; 实施 与 构建 阶段 的 工作 在 于 根据 设计 方案 进行 设备 购置 、 安 装 、 调 试 ， 形 成 可 试 
用 的 网 络 环境 ， 运 行 维护 阶段 提供 网 络 服务 ， 并 实施 网 络 管理 。 

四 阶段 周期 的 长 处 在 于 工作 成 本 较 低 、 灵 活性 高 ， 适 用 于 网 络 规模 较 小 、 需 求 较为 
明确 、 网 络 结构 简单 的 网 络 工程 。 

2) 五 阶段 周期 

五 阶段 周期 是 较为 常见 的 迭代 周期 划分 方式 ， 将 一 次 迭代 划分 为 5 个 阶段 。 

。 需求 规范 。 
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通信 规范 。 
逻辑 网 络 设计 。 
物理 网 络 设计 。 
实施 阶段 。 
在 5 个 阶段 中 ， 由 于 每 个 阶段 都 是 一 个 工作 环节 ， 每 个 环节 完毕 后 才能 进入 到 下 一 
个 环节 ， 类 似 于 软件 工程 中 的 “瀑布 模型 ”， 形 成 了 特定 的 工作 流程 ， 如 图 2-14 所 示 。 


逻辑 网 络 设计 


| 


物理 网 络 设计 


图 2-14 五 阶段 周期 


按照 这 种 流程 构建 网 络 ， 在 下 一 个 阶段 开始 之 前 ， 前 面 的 每 个 阶段 的 工作 必须 已 经 
成 。 一 般 情况 下 ， 不 允许 返回 到 前 面 的 阶段 ， 如 果 出 现 前 一 阶段 的 工作 没有 完成 就 开 
始 进入 下 一 个 阶段 , 则 会 对 后 续 的 工作 造成 较 大 的 影响 , 甚至 产生 工期 拖 后 和 成 本 超支 。 

五 阶段 周期 的 主要 优势 在 于 所 有 的 计划 在 较 早 的 阶段 完成 ， 该 系统 的 所 有 负责 人 对 
系统 的 具体 情况 以 及 工作 进度 都 非常 清楚 ， 更 容易 协调 工作 。 

五 阶段 周期 的 缺点 是 比较 死板 ， 不 灵活 。 因 为 往往 在 项 目 完 成 之 前 ， 用 户 的 需求 经 
常会 发 生变 化 ， 这 使 得 已 开发 的 部 分 需要 经 常 修 改 ， 从 而 影响 工作 的 进程 ， 所 以 基于 这 
种 流程 完成 网 络 设计 时 ， 用 户 的 需求 确认 工作 非常 重要 。 

五 阶段 周期 由 于 存在 较为 严格 的 需求 和 通信 分 析 规 范 ， 并 且 在 设计 过 程 中 充分 考虑 
了 网 络 的 逻辑 特性 和 物理 特性 ， 因 此 较为 严谨 , 适 
用 于 网 络 规模 较 大 ,需求 较 为 明确 ， 在 一 次 达 代 过 
程 中 需求 变更 较 小 的 网 络 工程 。 

五 阶段 周期 将 在 后 续 章节 中 进行 详细 介绍 。 

3) 六 阶段 周期 

六 阶段 周期 是 对 五 阶段 周期 的 补充 , 是 对 其 缺 
乏 灵 活性 的 改进 , 通过 在 实施 阶段 前 后 增加 相应 的 
测试 和 优化 过 程 , 提高 网 络 建设 工程 中 对 需求 变更 
的 适应 性 。 

6 个 阶段 分 别 由 需求 分 析 、 逻 辑 设 计 、 物 理 设 
计 、 设计 优化 、 实施 及 测试 、 监 测 及 性 能 优化 组 成 ， 
如 图 2-15 所 示 。 2-15 ”六 阶段 周期 


实施 阶段 


ak < 


直人 
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需求 分 析 阶 段 ， 网 络 分 析 人 员 通 过 与 用 户 和 技术 人 员 进 行 交流 来 获取 用 户 对 新 的 或 
升级 系统 的 商业 和 技术 目标 ， 然 后 归纳 出 当前 网 络 的 特征 ， 分 析出 当前 和 将 来 的 网 络 通 
信 量 、 网 络 性 能 ， 包 括 流量 、 负 载 、 协 议 行为 和 服务 质量 要 求 。 

逻辑 设计 阶段 ， 主 要 完成 网 络 的 逻辑 拓扑 结构 、 网 络 编 址 、 设 备 命 名 、 交 换 及 路 由 
协议 选择 、 安 全 规划 、 网 络 管理 等 设计 工作 ， 并 且 根 据 这 些 设计 产生 对 设备 厂商 、 服 务 
提供 商 的 选择 策略 。 

物理 设计 阶段 ， 根 据 逻 辑 设计 的 成 果 ， 选 择 具体 的 技术 和 产品 ， 使 得 逻辑 设计 成 果 
符合 工程 设计 规范 。 

设计 优化 阶段 ， 该 阶段 完成 在 实施 阶段 前 的 方案 优化 ， 通 过 召开 专家 研讨 会 、 拱 建 
试验 平台 、 网 络 仿真 等 多 种 形式 ， 找 出 设计 方案 中 的 缺陷 ， 并 进行 方案 优化 。 

实施 及 测试 阶段 ， 该 阶段 根据 优化 后 的 方案 进行 设备 的 购置 、 安 装 、 调 试 与 测试 ， 
通过 测试 和 试用 ， 发 现 网 络 环境 与 设计 方案 的 偏离 ， 纠 正 实施 过 程 中 的 错误 ， 甚 至 可 能 
导致 修改 网 络 设计 方案 。 

监测 及 性 能 优化 阶段 ， 该 阶段 是 网 络 的 运营 和 维护 阶段 ， 通 过 网 络 管理 、 安 全 管理 
等 技术 手段 ， 对 网 络 是 否 正常 运行 进行 实时 监控 ， 一 旦 发 现 问题 ， 通 过 优化 网 络 设备 配 
置 参数 ， 达 到 优化 网 络 性 能 的 目的 ， 一 旦 发 现 网 络 性 能 已 经 无 法 满足 用 户 需求 ， 则 进入 
下 一 次 迭代 周期 。 

六 阶段 周期 偏重 于 网 络 的 测试 和 优化 ， 侧 重 于 网 络 需求 的 不 断 变更 ， 由 于 其 严格 的 
逻辑 设计 和 物理 设计 规范 ， 使 得 该 种 模式 适合 于 大 型 网 络 的 建设 工作 。 


2.2.3 ”网 络 开发 过 程 


网 络 开发 过 程 描述 的 是 在 开发 一 个 网 络 时 必须 完成 的 基本 任务 ， 而 网 络 生命 周期 的 
迭代 模型 为 描绘 网 络 项 目的 开发 提供 了 特定 的 理论 模型 ， 因 此 网 络 开发 过 程 主要 是 指 一 
次 迭代 过 程 。 

由 于 一 个 网 络 项 目 从 构思 到 最 终 退 出 应 用 ， 一 般 会 遵循 迭代 模型 ， 经 历 多 个 迭代 周 
期 ， 而 每 个 周期 的 各 种 工作 可 根据 新 网 络 的 规模 采用 不 同 的 欠 代 周期 。 例 如 在 网 络 建设 
初期 建设 的 是 试点 网 络 ， 由 于 网 络 规模 比较 小 ， 因 此 第 一 次 迭代 周期 的 开发 工作 采用 四 
阶段 方式 ， 而 随 着 应 用 的 发 展 ， 需 要 基于 试点 网 络 的 建设 ， 进 行 全 面 网 络 建设 和 互联 ， 
则 扩展 后 的 网 络 规模 较 大 ， 则 可 以 在 第 二 次 迭代 周期 中 采用 五 阶段 或 六 阶段 方式 。 

由 于 网 络 工程 中 , 中 等 规模 的 网 络 较 多 , 并 且 应 用 范围 较 广 ， 因 此 在 后 续 的 章节 中 ， 
主要 介绍 的 是 五 阶段 迭代 周期 方式 ， 该 方式 也 适用 于 部 分 应 用 要 求 、 履 盖 要 求 比较 单纯 
的 大 型 网 络 。 在 较为 复杂 的 大 型 、 超 大 型 网 络 中 ， 采 用 六 阶段 周期 时 ， 也 必须 完成 五 阶 
段 周期 中 要 求 的 各 项 工作 ， 只 是 增强 了 灵活 性 和 必需 的 验证 机 制 。 

将 大 型 问题 分 解 为 多 个 小 型 可 解 的 简单 问题 ， 这 是 解决 复杂 问题 的 常用 方法 ， 根 据 
五 阶段 迭代 周期 的 模型 ， 网 络 开 发 过 程 可 以 被 划分 为 5 个 阶段 ， 这 5 个 阶段 是 : 
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需求 分 析 。 
现 有 的 网 络 体系 分 析 ， 即 通信 规范 分 析 。 
确定 网 络 逻辑 结构 ， 即 逻辑 网 络 设计 。 

。 确定 网 络 物理 结构 ， 即 物理 网 络 设计 。 

。 安装 和 维护 。 

因此 网 络 工 被 分 解 成 为 多 个 容易 理解 、 容 易 处 理 的 部 分 ， 每 个 部 分 的 工作 都 是 一 个 
阶段 ， 各 阶段 的 工作 成 果 都 将 直接 影响 到 下 一 阶段 工作 的 开展 ， 这 就 是 五 阶段 周期 被 称 
为 流水 线 的 真正 含义 。 

在 这 5 个 阶段 中 ， 每 个 阶段 都 必须 依据 上 一 阶段 的 成 果 ， 完 成 本 阶段 的 工作 ， 并 形 
成 本 阶段 的 工作 成 果 , 作为 下 一 阶段 的 工作 依据 ; 这 些 阶 段 成 果 分 别 为 “需求 规范 ”“ 通 
信和 规范 ”“ 逻 辑 网 络 设计 ”“ 物 理 网 络 设计 ”。 例如, 在 需求 分 析 阶 段 ， 需 要 一 份 关于 软 
件 、 硬 件 、 连 接 和 服务 的 详细 说 明 书 ， 以 确保 满足 每 个 项 目 各 自 的 独特 需求 ， 只 有 在 网 
络 计划 者 已 经 分 析 和 确定 了 现 有 网 络 体系 结构 、 新 的 需求 、 设 计 目 标 和 约束 ， 并 形成 了 
需求 规范 后 才能 开始 后 续 设 计 工 作 。 这 样 ， 在 大 多 数 大 中 型 网 络 开发 过 程 中 ， 网 络 开发 


过 程 就 可 以 用 图 2-16 描述 。 
物理 网 络 设计 安装 和 维护 


通信 各 区 分 析 | | [带鱼 网 络 设计 
出 和 测量 通 | | | 选择 符合 需求 | | | 将 迎 辑 设计 应 实现 物理 网 络 
fe 的 设计 用 到 物理 空间 | | | 设计 


| 


ee a 柬 畏 同乡 和 各 网 络 
需求 规范 通信 规范 ule We 
计 


图 2-16 五 阶段 网 络 开 发 过 程 


各 阶段 的 输出 成 果 将 直接 关系 到 下 一 阶段 的 工作 ， 因 此 作为 工作 成 果 的 产物 ， 包 括 
所 有 记录 设计 规划 、 技 术 选 择 、 用 户 信息 以 及 上 级 审批 的 文件 都 应 该 保存 好 ， 以 便 以 后 
查询 和 参考 另外， 在 极端 情况 下 ， 如 果 某 一 阶段 的 工作 出 现 重 大 失误 ， 可 以 根据 上 一 
阶段 成 果 ， 重 新 执行 本 阶段 的 工作 。 

下 面 介绍 网 络 开发 过 程 的 各 个 阶段 ， 只 有 理解 了 开发 网 络 项 目的 各 个 阶段 ， 才 可 以 
在 实际 开发 过 程 中 灵活 运用 。 
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1. 需求 分 析 

需求 分 析 是 开发 过 程 中 最 关键 的 阶段 , 所 有 的 工程 设计 人 员 都 清楚 , 如 果 在 需求 分 
析 阶 段 没 有 明确 需求 ， 则 会 导致 以 后 各 阶段 的 工作 严重 偏 移 。 需 求 阶段 需要 直接 面 对 的 
就 是 需求 收集 的 困难 ， 很 多 时 候 甚 至 用 户 自 己 也 不 清楚 具体 需求 是 什么 ， 或 者 需求 渐渐 
增加 而 且 经 常 发 生变 化 ， 需 求 调 研 人 员 必 须 采 用 多 种 方式 与 用 户 交 流 ， 才 能 挖掘 出 网 络 
工程 的 全 面 需 求 。 

收集 需求 信息 不 仅 要 和 不 同 的 用 户 、 经 理 和 其 他 网 络 管理 员 交 流 , 而 且 需 要 把 交流 
所 得 信息 归纳 解释 。 在 这 个 过 程 中 ， 很 容易 出 现 不 同 用 户 群 体 之 间 的 需求 矛盾 ， 尤 其 是 
网 络 用 户 和 网 络 管理 员 之 间 的 分 歧 ， 网 络 用 户 总 是 希望 能 够 更 多 、 更 方便 地 享用 网 络 资 
源 ， 而 网 络 管理 员 则 更 希望 网 络 稳定 、 用 户 管理 方便 ， 需求 出 现 矛 盾 其 实 是 正常 的 ， 这 
也 说 明 需 求 调查 是 全 面 的 。 设 计 人 员 只 需要 在 设计 工作 中 根据 工程 经 验 ， 均 衡 考虑 各 方 
利益 ， 不 激化 用 户 矛 盾 ， 就 能 保证 最 终 的 网 络 是 可 用 的 。 

收集 需求 信息 是 一 项 费时 的 工作 ， 也 不 可 能 很 快 产生 非常 明确 的 需求 ， 但 是 可 以 明 
确 需求 变化 的 范围 ， 通 过 网 络 设计 的 伸缩 性 保证 网 络 工程 满足 用 户 的 需求 变化 ， 所 以 ， 
需求 分 析 有 助 于 设计 者 更 好 地 理解 网 络 应 该 具有 什么 功能 和 性 能 ， 最 终 设计 出 符合 用 户 
需求 的 网 络 ， 它 为 网 络 设计 提供 了 下 述 的 依据 : 

。 能 够 更 好 地 评价 现 有 的 网 络 体系 。 

。 能 够 更 客观 地 做 出 决策 。 

。 提供 完美 的 交互 功能 。 

。 提供 网 络 的 移植 功能 。 

。 合理 使 用 用 户 资源 。 

不 同 的 用 户 有 不 同 的 网 络 需 求 ， 收 集 需求 时 考虑 如 下 : 

。 业务 需求 。 

。 用 户 需 求 。 

。 应 用 需求 。 

。 计算 机 平台 需求 。 

。 网 络 需 求 。 

在 需求 分 析 阶 段 应 该 尽量 明确 定义 用 户 的 需求 。 在 需求 分 析 阶 段 ， 如 果 网 络 工程 较 
大 ， 则 可 以 将 调查 人 员 划 分 成 若干 个 小 组 ， 每 个 小 组 的 分 工 不 同 ， 但 是 定期 讨论 需求 ， 
找 出 调查 需求 的 不 一 致 处 ， 通 过 对 不 一 致 处 进行 更 细致 调查 ， 形 成 全 面 需 求 。 另 外 ， 在 
需求 调查 的 手段 上 ， 可 以 采用 多 种 方式 ， 例 如 对 于 大 范围 的 调查 ， 可 以 采用 书面 的 调查 
问卷 ， 收 集 调查 问卷 并 统计 ;， 对 于 相似 的 用 户 群 ， 可 以 采用 抽样 访谈 的 方式 ， 通 过 直接 
的 交流 ， 获 取 用 户 的 特定 需求 。 

详细 的 需求 描述 使 得 最 终 的 网 络 更 有 可 能 满足 用 户 的 要 求 。 同 时 ， 需 求 收集 过 程 必 
须 同时 考虑 现在 和 将 来 的 需要 ， 如 不 适当 考虑 将 来 的 发 展 ， 以 后 将 会 很 难 实现 对 网 络 的 
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扩展 。 

最 后 ， 需 要 注意 的 是 需求 分 析 的 输出 是 产生 一 份 需求 说 明 书 ， 也 就 是 需求 规范 。 网 
络 设计 者 必须 规范 地 把 需求 记录 在 一 份 需求 说 明 书 中 ， 清 楚 而 细致 地 总 结 单 位 和 个 人 的 
需要 和 愿望 。 在 写 完 需 求 说 明 书 后 ， 管 理 者 与 网 络 设计 者 应 该 正式 达成 共识 ， 并 在 文件 
上 签字 ， 这 是 规避 网 络 建设 风险 的 关键 。 这 时 需求 说 明 书 才 成 为 开发 小 组 和 管理 者 之 间 
的 协议 ， 也 就 是 说 ， 管 理 者 认可 文件 中 对 他 们 所 要 系统 的 描述 ， 网 络 开发 者 同意 提供 这 
个 系统 。 

在 形成 需求 说 明 书 之 前 ， 网 络 工程 设计 人 员 还 必须 与 网 络 管理 部 门 就 需求 的 变化 建 
立 起 需求 变更 机 制 ， 明 确 允 许 的 变更 范围 。 这 些 内 容 正 式 通 过 后 ， 开 发 过 程 就 可 以 进入 
下 一 个 阶段 了 。 

2. 现 有 的 网 络 体系 分 析 

如 果 说 当前 网 络 开 发 过 程 不 是 第 一 次 迭代 周期 ， 也 就 是 说 已 经 存在 一 个 网 络 ， 当 前 
周期 是 对 现 有 网 络 的 升级 和 改造 时 ， 就 必须 添加 现 有 网 络 体系 分 析 工 作 。 现 有 网 络 体系 
分 析 工 作 的 目的 是 描述 资源 分 布 ， 以 便于 在 升级 时 尽量 保护 已 有 投资 ， 通 过 该 工作 ， 可 
以 使 网 络 设计 者 掌握 网 络 现在 所 处 的 状态 和 情况 。 

升级 后 的 网 络 效率 和 当前 网 络 中 的 各 类 设备 资源 是 否 满足 新 需求 是 相关 的 ， 如 果 现 
有 的 网 络 设备 不 能 满足 新 的 需求 ， 就 必须 淘汰 并 购置 新 的 设备 。 因 此 ， 在 写 完 需 求 说 明 
书后 ， 在 设计 过 程 开始 之 前 ， 必 须 彻 底 分 析 现 有 网 络 和 新 网 络 相关 的 各 类 资源 。 

在 这 一 阶段 ， 应 给 出 一 份 正式 的 通信 规范 说 明文 档 ， 作 为 下 一 个 阶段 〈 逻 辑 网 络 设 
计 ) 的 输入 使 用 。 网 络 分 析 阶 段 应 该 提供 的 通信 规范 说 明文 档 内 容 如 下 : 
现 有 网 络 的 逻辑 拓扑 图 。 
反映 网 络 容量 、 网 段 及 网 络 所 需 的 通信 容量 和 模式 。 
详细 的 统计 数据 、 基 本 的 测量 值 和 所 有 其 他 直接 反映 现 有 网 络 性 能 的 测量 值 。 
JIntemet 接口 和 广域网 提供 的 服务 质量 《QoS ) 报告 。 
限制 因素 列表 清单 ， 例 如 ， 使 用 线 缆 和 设备 等 。 

3， 确定 网 络 逻 辑 结 构 

网 络 逻 辑 结 构 设 计 是 体现 网 络 设计 核心 思想 的 关键 阶段 ， 在 这 一 阶段 根据 需求 规范 
和 通信 和 规范， 选择 一 种 比较 适宜 的 网 络 逻 辑 结 构 ， 并 基于 该 逻辑 结构 ， 实 施 后 续 的 资源 
分 配 规划 、 安 全 规划 等 内 容 。 

网 络 的 逻辑 结构 设计 ， 来 自 于 用 户 需求 中 描述 的 网 络 行为 、 性 能 等 要 求 ， 逻 辑 设计 
要 根据 网 络 用 户 的 分 类 、 分 布 ， 形 成 特定 的 网 络 结构 ， 该 网 络 结构 大 致 描述 了 设备 的 互 
联 及 分 布 ， 但 是 不 对 具体 的 物理 位 置 和 运行 环境 进行 确定 。 

由 于 网 络 划分 为 多 个 层次 ， 因 此 相同 的 一 个 网 络 设备 连接 图 ， 在 不 同 的 网 络 协议 层 
次 上 ， 其 连接 图 是 不 同 的 ， 尤 其 是 在 网 络 层 和 传输 链 路 控制 层 ， 而 逻辑 网 络 设计 阶段 ， 
设计 人 员 一 般 更 关注 于 网 络 层 的 连接 图 ， 因 为 这 涉及 网 络 互联 、 地 址 分 配 、 网 络 层 流 量 
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的 关键 因素 。 

网 络 设计 者 利用 需求 分 析 和 现 有 网 络 体系 分 析 的 结果 来 设计 逻辑 网 络 结构 。 如 果 现 
有 的 软 、 硬 件 不 能 满足 新 网 络 的 需求 ， 现 有 系统 就 必须 升级 。 如 果 现 有 系统 能 够 继续 运 
行使 用 ， 可 以 将 它们 集成 到 新 设计 中 来 。 如 果 不 集成 旧 系 统 ， 网 络 设计 小 组 可 以 找 一 个 
新 系统 ， 对 它 进行 测试 ， 确 定 是 否 符合 用 户 的 需求 。 

此 阶段 最 后 应 该 得 到 一 份 逻辑 网 络 设计 文档 ， 输 出 的 内 容 包 括 以 下 几 点 。 

。 逻辑 网 络 设计 图 。 

。 IP 地 址 方案 。 

。 安全 方案 。 

。 具体 的 软 硬 件 、 广 域 网 连接 设备 和 基本 的 服务 。 

。 招聘 和 培训 网 络 员工 的 具体 说 明 。 

。 对 软 硬 件 、 服 务 、 员 工 和 培训 的 费用 的 初步 估计 。 

4. 确定 网 络 物理 结构 

物理 网 络 设计 是 对 逻辑 网 络 设计 的 物理 实现 , 通过 对 设备 的 具体 物理 分 布 、 运 行 环 
境 等 的 确定 ， 确 保 网 络 的 物理 连接 符合 逻辑 连接 的 要 求 。 在 这 一 阶段 ， 网 络 设计 者 需要 
确定 具体 的 软 硬 件 、 连 接 设备 、 布 线 和 服务 。 

如 何 选 择 和 安装 设备 ， 由 网 络 物理 结构 这 一 阶段 的 输出 作 依据 ， 所 以 网 络 物理 结构 
设计 文档 必须 尽 可 能 详细 、 清 晰 ， 输 出 的 内 容 如 下 : 

。 网 络 物理 结构 图 和 布线 方案 。 
。 设备 和 部 件 的 详细 列表 清单 。 
。 软 硬 件 和 安装 费用 的 估算 。 
。 安装 日 程 表 ， 详 细 说 明 服务 的 时 间 以 及 期 限 。 
。 安装 后 的 测试 计划 。 
。 用户 的 培训 计划 。 
S. 安装 和 维护 

第 5 个 阶段 可 以 分 为 两 个 小 阶段 ， 分 别 是 安装 和 维护 。 

1) 安装 

安装 阶段 是 根据 前 面 各 个 阶段 的 工程 成 果 ， 实 施 环境 准备 、 设 备 安装 调试 的 过 程 。 

安装 阶段 的 主要 输出 是 网 络 本 身 。 好 的 安装 阶段 应 该 产生 的 输出 如 下 : 

。 逻辑 网 络 图 和 物理 网 络 图 ， 以 便于 管理 人 员 快 速 掌握 网 络 。 

。 满足 规范 的 设备 连接 图 、 布 线 图 等 细节 图 ， 同 时 包括 线 缆 、 连 接 器 和 设备 的 规范 

标识 ， 这 些 标识 应 与 各 细节 图 保持 一 致 。 

。 运营 维护 记录 和 文档 ， 包 括 测试 结果 和 新 的 数据 流量 记录 。 

在 安装 开始 之 前 ， 所 有 的 软 硬 件 资源 必须 准备 完毕 ， 并 通过 测试 。 在 网 络 投 入 运营 
之 前 ， 人 员 、 培 训 、 服 务 、 协 议 等 都 是 必须 准备 好 的 资源 。 
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2) 维护 

网 络 安装 完成 后 ， 接 受用 户 的 反馈 意见 和 监控 是 网 络 管理 员 的 任务 。 网 络 投 入 运行 
后 ， 需 要 做 大 量 的 故障 监测 和 故障 恢复 以 及 网 络 升 级 和 性 能 优化 等 维护 工作 。 网 络 维护 
又 称 为 网 络 产品 的 售后 服务 。 


2.2.4 网 络 设计 的 约束 因素 


网 络 设计 的 约束 因素 不 同 于 网 络 设 计 目 标 ， 是 网 络 设计 工作 必须 遵循 的 一 些 附 加 条 
件 ， 一 个 网 络 设计 ， 即 使 可 以 达到 设计 的 目标 ， 但 是 由 于 不 满足 约束 条 件 ， 将 导致 该 网 
络 设计 无 法 实施 。 所 以 ， 在 需求 分 析 阶 段 ， 在 确定 用 户 需 求 的 同时 ， 也 应 对 这 些 附 加 条 
件 进行 明确 。 

在 一 个 网 络 工程 中 , 满足 用 户 需 求 的 网 络 设计 是 一 个 集合 , 设计 因素 就 是 过 滤 条 件 ， 
而 过 滤 后 的 设计 集合 ， 就 是 可 以 实施 的 设计 集合 。 

一 般 来 说 ， 网 络 设计 的 约束 因素 主要 来 自 于 政策 、 预 算 、 时 间 和 应 用 目标 检查 方面 。 

1. 政策 约束 

了 解 政 策 约束 的 目标 是 发 现 隐藏 在 项 目 背 后 的 可 能 导致 项 目 失败 的 事务 安排 、 持 续 
的 争论 、 偏 见 、 利 益 关 系 或 历史 等 因素 。 政 策 约束 的 来 源 包括 法 律 、 法 规 、 行 业 规 定 、 
业务 规范 、 技 术 规 范 等 ， 政 策 约束 的 直接 体现 是 法 律 法 规 条 文 、 发 表 的 暂行 规定 、 国 际 
国家 行业 标准 、 行 政通 知 与 发 文 等 。 

在 网 络 开 发 中 , 设计 人 员 需 要 与 客户 就 协议 、 标 准 、 供 应 商 等 方面 的 政策 进行 讨论 ， 
弄 清 楚 客 户 在 传输 、 路 由 选择 、 桌 面 或 其 他 协议 方面 是 否 已 经 制定 了 标准 ， 是 否 有 关于 
开发 和 专 有 解决 方案 的 规定 ， 是 否 有 认可 供应 商 或 平台 方面 的 相关 规定 ， 是 否 允许 不 同 
厂商 之 间 的 竞争 。 在 明确 了 这 些 政策 约束 后 ， 才 能 开展 后 期 的 设计 工作 ， 以 免 出 现 设计 
失败 或 重复 设计 的 现象 。 

需要 特别 注意 的 是 ， 对 于 一 个 已 经 进行 过 但 没有 成 功 的 类 似 项 目 ， 应 当 判 断 类 似 的 
情况 是 否 有 可 能 再 次 发 生 ， 采 取 什 么 方案 才能 避免 。 

2. 预算 约束 

预算 是 决定 网 络 设计 的 关键 因素 ， 很 多 满足 用 户 需求 的 优良 设计 ， 就 是 因为 突破 了 
用 户 的 基本 预算 而 不 能 实施 。 

如 果 用 户 的 预算 是 弹性 的 ， 那 就 意味 着 赋予 了 设计 人 员 更 多 的 空间 ， 设 计 人 员 可 以 
从 用 户 满意 度 、 可 扩展 性 、 易 维护 性 等 多 个 角度 对 设计 进行 优化 ; 但 是 大 多 数 情况 下 ， 
设计 人 员 面 对 的 是 刚性 的 预算 ， 预 算 可 调整 的 幅度 非常 小 ， 在 刚性 预算 下 实现 满意 度 、 
可 扩展 性 、 易 维护 性 是 需要 大 量 工程 设计 经 验 的 。 

需要 注意 的 是 ， 对 于 预算 不 能 满足 用 户 网 络 需 求 的 情况 ， 放 弃 网 络 设计 工作 并 不 是 
一 种 积极 的 态度 ， 正 确 的 做 法 ， 是 在 统筹 规划 的 基础 上 ， 将 网 络 建设 工作 划分 为 多 个 迭 
代 周 期 ， 同 时 将 网 络 建设 目标 分 解 为 多 个 阶段 性 目标 ， 通 过 阶段 性 目标 的 实现 ， 到 达 最 
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终 满 足 用 户 全 部 需求 的 目的 ， 而 当前 预算 仅 用 于 完成 当前 迭代 周期 的 建设 目标 。 
预算 的 正确 分 解 也 是 需要 面 对 的 工作 ， 网 络 预算 一 般 分 为 一 次 性 投资 预算 和 周期 性 
投资 预算 ， 一 般 来 说 年 度 发 生 的 周期 性 投资 预算 和 一 次 性 投资 预算 之 间 的 比例 为 10% 一 
15% 是 比较 合理 的 。 一 次 性 投资 预算 主要 用 于 网 络 的 初始 建设 ， 包 括 设 备 采 购 、 购 买 软 
件 、 维 护 和 测试 系统 ， 培 训 工作 人 员 以 及 设计 和 安装 系统 的 费用 等 ; 应 根据 一 次 性 投资 
预算 ， 对 设备 、 软 件 进行 选 型 ， 对 培训 工作 量 进行 限定 ， 确 保 网 络 初 始 建设 的 可 行 性 。 
周期 性 投资 预算 主要 用 于 后 期 的 运营 维护 ， 包 括 人 员 消 耗 、 设 备 维护 消耗 、 软 件 系统 升 
级 消耗 、 材 料 消耗 、 信 息 费 用 、 线 路 租用 费用 等 多 个 方面 ， 同 时 ， 对 客户 单位 的 网 络 工 
作 人 员 的 能 力 进 行 分 析 ， 考 察 他 们 的 工作 能 力 和 专业 知识 是 否 能 够 胜任 以 后 的 工作 ， 并 
提出 相应 的 建议 ， 是 评判 周期 性 投资 预算 是 否 能 够 满足 运营 需要 的 关键 之 一 。 
最 后 , 评判 多 个 相同 或 近似 预算 网 络 工程 的 优 劣 , 还 要 对 网 络 的 投资 回报 进行 分 析 ， 
从 降低 运行 费用 、 提 高 劳动 效率 、 扩 大 市 场 等 多 个 角度 来 选择 最 适合 的 网 络 建设 方案 。 
3. 时 间 约 束 
网 络 设计 的 进度 安排 是 需要 考虑 的 另 一 个 问题 。 项 目 进 度 表 限定 了 项 目 最 后 的 期 限 
和 重要 的 阶段 。 通 常 ， 项 目 进度 是 由 客户 负责 管理 ， 但 网 络 设计 者 必须 就 该 日 程 表 是 否 
可 行 提出 自己 的 意见 。 
有 许多 种 开发 进度 表 的 工具 ， 在 全 面 了 解 了 项 目 之 后 ， 要 对 网 络 设计 者 自行 安排 的 
计划 与 进度 表 的 时 间 进 行 对 照 分 析 ， 对 于 存在 疑问 的 地 方 ， 要 及 时 与 客户 进行 沟通 。 
4. 应 用 目标 检查 
在 进行 下 一 阶段 的 任务 之 前 , 需要 确定 是 否 了 解 了 客户 的 应 用 目标 和 所 关心 的 事项 。 
通过 应 用 目标 检查 ， 可 以 避免 用 户 需 求 的 缺失 ， 检 查 形 式 包括 设计 小 组 内 部 的 自我 检查 
和 用 户 信息 主管 部 门 的 确认 检查 两 种 。 常 用 的 应 用 检查 项 目 包 括 : 
。 对 客户 所 处 的 产业 和 竞争 情况 做 的 调查 。 
对 客户 公司 结构 的 了 解 情 况 。 
编制 了 客户 商业 目标 清单 ， 明 确 了 网 络 设计 的 最 主要 目的 。 
客户 对 所 有 关键 任务 操作 的 明确 程度 。 
客户 对 成 功 和 失败 的 衡量 标准 。 
网 络 设计 项 目的 范围 。 
客户 的 网 络 应 用 。 
客户 已 就 认可 的 供应 商 、 协 议 、 平 台 等 政策 进行 的 解释 。 
客户 已 就 网 络 设计 和 实现 的 分 布 授权 的 相关 政策 进行 的 解释 。 
对 项 目 预 算 的 了 解 。 
对 项 目 进度 的 安排 ， 包 括 最 后 期 限 和 重要 阶段 以 及 进度 安排 符合 实际 。 
对 客户 和 相关 的 内 部 、 外 部 工作 人 员 的 技术 知识 的 了 解 。 
就 员工 培训 计划 进行 的 探讨 。 
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。 注意 到 了 可 以 影响 网 络 设计 的 办 公 策 略 。 

在 明确 了 设计 人 员 对 以 上 内 容 都 已 经 清楚 ， 并 且 与 用 户 不 存在 分 歧 之 后 ， 才 可 以 进 
行 下 一 阶段 的 设计 工作 。 

需要 注意 的 是 , 在 网 络 设计 工作 中 , 由 于 用 户 的 不 同 群体 存在 着 不 同 的 需求 和 约定 ， 
经 常会 出 现 约束 条 件 冲突 的 情况 ， 这 些 约 束 条 件 的 冲突 问题 可 以 依据 两 种 思路 来 解决 ， 
一 是 由 用 户 的 信息 主管 部 门 协调 解决 ， 一 是 针对 冲突 的 约束 条 件 排 定 优先 级 ， 优 先 满足 
最 高 级 别 的 约束 条 件 。 


2.3 网 络 需求 分 析 


网 络 需求 分 析 是 网 络 开发 过 程 的 起 始 部 分 ， 在 该 阶段 ， 应 明确 客户 所 需 的 网 络 服务 
和 性 能 。 本 小 节 介绍 了 需求 收集 分 析 的 过 程 ， 并 描述 了 如 何 编制 需求 说 明 书 。 


2.3.1 需求 分 析 的 必要 性 


需求 分 析 是 用 来 获取 网 络 系统 需求 和 业务 需求 的 方法 ， 该 过 程 是 网 络 开 发 的 基础 ， 
也 是 开发 过 程 中 的 关键 阶段 。 

虽然 网 络 需求 分 析 不 同 于 软件 应 用 系统 的 需求 分 析 工 作 ， 但 是 网 络 设 计 人 员 也 需要 
与 用 户 进行 大 量 的 交流 和 沟通 ， 也 需要 通过 对 用 户 业 务 流程 的 了 解 来 细 化 网 络 需求 。 一 
般 来 说 ， 如 果 网 络 工程 是 和 应 用 软件 同时 进行 的 ， 则 可 以 将 网 络 需 求 调查 和 应 用 软件 的 
需求 调查 结合 在 一 起 进行 。 通 过 多 种 沟通 手段 ， 使 得 设计 人 员 不 仅 了 解 了 用 户 的 业务 知 
识 ， 同 时 了 解 用 户 对 网 络 的 基本 需求 ， 为 后 续 步 又 建立 一 个 稳固 的 工作 基础 。 

需求 分 析 工 作为 设计 者 提供 了 以 下 的 设计 依据 : 

。 能 够 更 好 地 评价 现 有 的 网 络 体系 。 

。 能 够 更 客观 地 做 出 决策 。 

。 提供 完美 的 交互 功能 。 

。 提供 网 络 的 移植 功能 。 

。 合理 使 用 用 户 资源 。 

在 需求 分 析 阶 段 对 用 户 需求 的 定义 越 明 确 和 详细 ， 则 实施 期 间 需 求 变动 的 可 能 性 就 
越 小 ， 同 时 建设 后 网 络 的 用 户 满意 度 就 越 高 。 


2.3.2 ”收集 需求 分 析 的 过 程 
在 需求 分 析 过 程 中 ， 需 要 考虑 以 下 几 个 方面 的 需求 : 
。 业务 需求 。 
。 用 户 需求 。 
。 应 用 需求 。 
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。 计算 机 平台 需求 。 
。 网 络 需求 。 


2.3.2.1 业务 需求 


1. 建立 业务 需求 

在 整个 网 络 开 发 过 程 中 ， 业 务 需求 调查 是 理解 业务 本 质 的 关键 ， 应 尽量 保证 设计 的 
网 络 能 够 满足 业务 的 需求 。 

网 络 工程 是 为 一 个 集体 提供 网 络 服务 的 ， 在 这 个 集体 中 ， 存 在 着 职能 的 分 工 ， 也 存 
在 着 不 同 的 业务 需求 ， 一 般 来 说 用 户 只 对 自己 分 管 的 业务 需求 非常 清晰 ， 对 于 其 他 用 户 
的 需求 会 产生 侧面 的 了 解 ， 因 此 对 于 集体 内 的 不 同 用 户 ， 都 需要 收集 特定 的 业务 信息 ， 
这 些 信息 包括 以 下 内 容 。 

1) 确定 主要 相关 人 员 

业务 需求 收集 的 第 一 步 是 获取 组 织 机 构图 ， 通 过 组 织 机 构图 了 解 集体 中 的 岗位 设置 
以 及 岗位 职责 ， 典 型 的 组 织 机 构图 如 图 2-17 所 示 。 


总 经 理 
| 
生产 副 总 销售 副 总 办 公 室 主任 
| | 一 一 
生产 部 长 检测 部 长 | | 市 场 部 长 | | 销售 部 长 财务 部 长 联络 部 长 


图 2-17 组 织 机 构图 


在 调查 组 织 机 构 的 过 程 中 ， 主 要 与 以 下 两 类 人 员 重 点 沟通 。 

。 决策 者 : 负责 审批 网 络 设计 方案 或 决定 投资 规模 的 管理 层 。 

。 信息 提供 者 : 负责 解释 业务 战略 、 长 期 计划 和 其 他 常见 的 业务 需求 。 

2) 确定 关键 时 间 点 

项 目的 时 间 限 制 是 完工 的 最 后 期 限 , 对 于 大 型 项 目 ， 必 须 制 定 严格 的 项 目 实施 计划 ， 
确定 各 阶段 及 关键 的 时 间 点 , 同时 这 些 时 间 点 的 产物 也 是 重要 的 里 程 碑 。 在 计划 设 定 后 ， 
即 形成 项 目 阶段 建设 日 程 表 ,这 个 日 程 表 在 得 到 项 目的 更 多 信息 后 还 可 以 更 进一步 细 化 。 

3) 确定 网 络 的 投资 规模 

对 于 整个 网 络 的 设计 和 实施 ， 费 用 是 一 个 主要 考虑 的 因素 ， 投 资 规模 将 直接 影响 到 
网 络 工程 的 设计 思路 、 技 术 路 线 、 设 备 购 置 、 服 务 水 平 。 

面 对 确 定 的 网 络 规模 ， 投 资 的 规模 也 必须 合理 并 符合 工程 要 求 ， 存 在 一 个 投资 最 低 
限额 ， 如 低 于 该 限额 ， 则 会 出 现 资金 缺乏 等 问题 ， 导 致 网 络 建设 失败 。 
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在 进行 投资 预算 或 者 预算 确认 时 ， 应 根据 工程 建设 内 容 进行 核算 ， 将 一 次 性 投资 和 
周期 性 投资 都 纳入 考虑 范围 ， 并 据 实 向 管理 层 汇 报 费 用 问题 。 

计算 系统 成 本 时 ， 有 关 网 络 设计 、 实 施 、 维 护 和 支持 的 每 一 类 成 本 都 应 该 纳入 考虑 
中 。 表 2-3 所 示 的 是 需要 考虑 的 投资 项 目 清单 ， 可 根据 项 目 实际 情况 进行 调整 。 


表 2-3 投资 项 目 清单 


投资 项 目 投资 性 质 
一 次 性 投资 

核心 网 络 一 次 性 投资 
一 次 性 投资 

会 聚 网 络 一 次 性 投 次 
接 入 网 络 一 次 性 投 次 
综合 布线 一 次 性 投 次 
一 次 性 投 次 

一 次 性 投 次 

机 房 建设 一 次 性 投资 
| 洪 防 | 一 次 性 投 次 

一 次 性 投 次 

一 次 性 投 次 

一 次 性 投 次 

平台 软件 一 次 性 投 次 
一 次 性 投 次 

一 次 性 投 次 

一 次 性 投 次 

软件 开发 一 次 性 投资 
一 次 性 投资 

一 次 性 投资 

安全 设备 边界 安全 设备 一 次 性 投资 
桌面 安全 设备 一 次 性 投资 

网 络 管理 软件 一 次 性 投资 

安全 管理 软件 一 次 性 投资 

人 桌面 管理 软件 二 次 性 投资 
应 用 管理 软件 一 次 性 投资 

集成 一 次 性 投资 

一 次 性 投资 

实施 管理 一 次 性 投资 
培训 一 次 性 投资 


监理 一 次 性 投资 
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续 表 
投资 项 目 投资 子 项 投资 性 质 
通信 线路 费 周期 性 投资 
设备 维护 费 周期 性 投资 
运营 维护 费用 材料 消耗 费 周期 性 投 次 
周期 性 投 次 
不 可 参见 费用 有 

4) 确定 业务 活动 


在 设计 一 个 网 络 项 目 之 前 ， 应 通过 对 业务 活动 的 了 解 ， 来 明确 网 络 的 需求 。 一 般 情 
况 下 ， 网 络 工程 对 业务 活动 的 了 解 并 不 需要 非常 细致 ， 主 要 是 通过 对 业务 类 型 的 分 析 ， 
形成 各 类 业务 对 网 络 的 需求 ， 主 要 包括 最 大 用 户 数 、 并 发 用 户 数 、 峰 值 带宽 、 正 常 带 
宽 等 。 

5) 预测 增长 率 

预测 增长 率 是 另 一 类 常规 需求 ， 通 过 对 网 络 发 展 趋势 的 分 析 ， 明 确 网 络 的 伸缩 性 
需求 。 

预测 增长 率 主 要 考虑 以 下 方面 的 网 络 发 展 趋势 : 

。 分 支 机 构 增长 率 。 

网 络 覆 盖 区 域 增长 率 。 
用 户 增长 率 。 

应 用 增长 率 。 

通信 带宽 增长 率 。 
存储 信息 量 增长 率 。 

预测 增长 情况 主要 采用 两 种 方法 ， 一 是 统计 分 析 法 ， 一 种 是 模型 匹配 法 。 统 计 分 析 
法 是 基于 该 网 络 前 若干 年 的 统计 数据 ， 形 成 不 同方 面 的 发 展 趋势 ， 最 终 预 测 未 来 几 年 的 
增长 率 。 模 型 匹配 法 是 指 根 据 不 同 的 行业 、 领 域 建立 各 种 增长 率 的 模型 ， 而 网 络 设计 者 
根据 当前 网 络 的 情况 ， 依 据 经 验 选择 模型 ， 对 未 来 几 年 的 增长 率 进行 预测 。 需 要 注意 的 
是 ， 只 有 对 于 网 络 比较 复杂 、 发 展 变化 较 大 的 网 络 工程 ， 才 需要 进行 预测 增长 率 。 

6) 确定 网 络 的 可 靠 性 和 可 用 性 

网 络 的 可 用 性 和 可 靠 性 需求 是 非常 重要 的 ， 甚 至 这 些 指标 的 参数 可 能 会 影响 到 网 络 
的 设计 思路 和 技术 路 线 。 

一 般 来 说 ， 不 同 的 行业 拥有 自己 的 可 用 性 、 可 靠 性 要 求 ， 网 络 设计 人 员 在 进行 需求 
分 析 过 程 中 ， 应 首先 获取 行业 的 网 络 可 靠 性 和 可 用 性 指标 标准 ， 并 基于 该 标准 与 用 户 进 
行 交流 ， 明 确 特 殊 要 求 。 这 些 特殊 的 要 求 甚至 可 能 是 可 用 性 达到 7X24 小 时 、 线 路 故障 
后 立即 完成 备用 线路 切换 ， 并 不 对 应 用 产生 影响 等 非常 苛刻 的 需求 。 

7) 确定 Web 站 点 和 Intemet 的 连接 性 
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Web 站 点 可 以 自己 构建 ， 也 可 以 由 网 络 服务 提供 商 提供 ， 无 论 采 用 哪 种 方式 ， 一 个 
集体 的 Web 站 点 或 内 部 网 络 在 设计 时 总 是 反映 了 其 自身 的 业务 需求 。 只 有 完全 理解 了 一 
个 组 织 的 Intemet 业务 策略 ， 才 可 能 设计 出 具有 可 靠 性 、 可 用 性 和 安全 性 的 网 络 。 

8) 确定 网 络 的 安全 性 

确定 网 络 的 安全 性 需求 ， 构 建 合 适 的 安全 体系 是 网 络 设计 工作 的 保证 。 在 网 络 设计 
方面 ， 存 在 着 很 多 误区 ， 无 论 是 过 分 强调 网 络 的 安全 性 ， 还 是 对 网 络 安全 不 屑 一 顾 ， 都 
是 不 合适 的 设计 思路 。 正 确 的 设计 思路 是 调查 出 用 户 的 信息 分 布 ， 对 信息 进行 分 类 ， 根 
据 分 类 信息 的 涉 密 性 质 、 敏 感 程度 、 传 输 与 存储 、 访 问 控制 等 安全 要 求 ， 确 保 网 络 性 能 
和 安全 保密 的 平衡 。 

对 大 多 数 网 络 来 说 ， 由 于 用 户 的 信息 多 是 非 涉 密 的 信息 ， 因 此 提供 普通 的 安全 保障 
技术 措施 就 可 以 了 ; 但 对 于 有 特殊 业务 ， 网 络 中 存在 涉 密 、 敏 感 信息 的 网 络 ， 例 如 级 别 
较 高 的 政府 部 门 或 进行 有 关 国 家 安全 的 高 度 机 密 开 发 工作 的 公司 ， 其 网 络 所 承载 的 业务 
就 需要 对 职员 进行 严格 的 安全 限制 ， 使 用 严格 的 手续 来 保证 信息 的 安全 访问 和 输出 。 

网 络 安全 需求 调查 中 最 关键 的 一 点 是 ， 不 能 出 现 网 络 安全 需求 的 扩大 化 ， 提 倡 适度 


安全 。 
9) 确定 远程 访问 
远程 访问 是 指 从 互联 网 或 者 外 部 网 络 访问 内 部 网 络 、 企 业 网 络 ， 当 网 络 用 户 不 在 企 
业 或 组 织 网 络 内 部 时 ,可 以 借助 于 加 密 技 术 、VPN 等 技术 , 从 远程 网 络 来 访问 内 部 网 络 。 
通过 远程 访问 ， 可 以 实现 在 任意 时 间 、 地 点 都 可 工作 的 需求 ， 这 也 需要 配置 相应 的 远程 
访问 安全 技术 要 求 。 

根据 需求 分 析 ， 网 络 设计 者 要 确定 网 络 是 否 具 有 远程 访问 的 功能 ， 或 是 根据 网 络 的 
升级 需要 ， 考 虑 网 络 的 远程 访问 。 

2. 输出 一 一 业务 需求 清单 

设计 人 员 与 各 类 人 员 通 过 多 种 形式 的 交流 ， 获 取 了 组 织 内 部 的 业务 需求 ， 这 些 业 务 
需求 主要 通过 文档 的 形式 体现 ， 绝 大 多 数 业务 需求 文档 都 应 包含 如 下 的 内 容 : 

(1) 确定 主要 相关 人 员 。 

。 信息 来 源 。 

。 信息 管理 人 员 名 单 。 

。 相关 人 员 的 联系 方式 。 

(2) 确定 关键 时 间 点 。 

。 项 目 起 始 时 间 点 。 

。 项 目的 各 阶段 时 间 安 排 计划 。 

(3) 确定 工程 投资 规模 。 

。 投资 规模 估算 。 

。 预算 费用 估算 。 
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(4) 业务 活动 。 
。 业务 分 类 。 
。 各 类 业务 的 网 络 需求 。 
(5) 预测 增长 率 。 
分 支 机 构 增长 率 。 
网 络 覆 盖 范 围 增长 率 。 
用 户 增长 率 。 
应 用 增长 率 。 
通信 带宽 增长 率 。 
。 存储 信息 增长 率 。 
(6) 网 络 的 可 靠 性 和 可 用 性 。 
。 业务 活动 的 可 靠 性 要 求 。 
。 业务 活动 的 可 用 性 要 求 。 
(7) 确定 Web 站 点 和 Internet 的 连接 性 。 
。 Web 站 点 栏目 设置 。 
。 Web 站 点 的 建设 方式 。 
。 网 络 的 Intemet 出 口 要 求 。 
(8) 确定 网 络 的 安全 性 。 
。 信息 保密 等 级 。 
。 信息 敏感 程度 。 
。 信息 的 存储 与 传输 要 求 。 
。 信息 的 访问 控制 要 求 。 
(9) 确定 远程 访问 。 
。 远程 访问 要 求 。 
。 需要 远程 访问 的 人 员 类 型 。 
。 远程 访问 的 技术 要 求 。 
在 输出 清单 中 ， 还 应 该 特别 记录 管理 层 人 员 对 新 网 络 设计 的 基本 需求 ， 以 及 管理 层 
列 出 的 该 系统 所 需 的 特殊 功能 。 预 先 详细 考虑 新 系统 的 特殊 性 能 将 会 使 以 后 的 工作 效率 
得 到 大 大 的 提高 ， 除 此 之 外 还 能 增强 竞争 力 ， 减 少 费 用 开支 。 


2.3.2.2 ”用 户 需 求 


1. 收集 用 户 需求 

收集 用 户 需求 应 从 当前 的 网 络 用 户 开始 ， 找 出 用 户 需 要 的 重要 服务 或 功能 ， 对 用 户 
需要 的 功能 进行 分 析 ， 区 分 出 单机 服务 、 网 络 服务 ;对 于 网 络 服务 ， 还 要 根据 服务 的 性 
质 和 用 户 的 设想 ， 区 分 交互 式 服务 、C/S 服务 、BPS 服务 等 。 

为 了 设计 出 符合 用 户 需 求 的 网 络 ， 收 集 用 户 需 求 过 程 应 从 当前 的 网 络 用 户 开 始 ， 必 
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须 找 出 用 户 需 要 的 重要 服务 或 功能 。 这 些 服 务 可 能 需要 网 络 完 成 ， 也 可 能 只 需要 本 地 计 
算 机 完成 。 例 如 有 些 用 户 服务 属于 局 部 应 用 ， 由 本 机 的 应 用 程序 提供 ， 只 须 使 用 用 户 计 
算 机 和 外 围 设备 ， 而 其 他 服务 则 需要 通过 网 络 连接 ， 由 工作 组 服务 器 、 大 型 机 或 Web 服 
务 器 提供 。 在 很 多 情况 下 ， 可 通过 其 他 备 选 方案 来 满足 用 户 需 要 的 服务 。 

收集 用 户 需求 的 过 程 中 ， 需 要 注意 与 用 户 的 交流 ， 网 络 设计 者 应 将 技术 性 语言 转化 
为 普通 的 交流 性 语言 ， 并 且 将 用 户 描述 的 非 技 术 性 需求 转换 为 特定 的 网 络 属性 要 求 ， 例 
如 网 络 带 宽 、 并 发 连接 数 、 每 秒 新 增 连 接 数 等 。 

2. 收集 需求 的 机 制 

用 户 需 求 收集 的 机 制 ， 主 要 包括 与 用 户 群 的 交流 、 用 户 服务 、 需 求 归档 三 个 方面 。 

1) 与 用 户 群 交流 

与 用 户 交流 指 与 特定 的 个 人 和 群体 进行 交流 。 在 交流 之 前 ， 需 要 先 要 确定 这 个 组 织 
的 关键 人 员 和 关键 群体 ， 再 实施 交流 。 在 整个 设计 和 实施 阶段 ， 应 始终 保持 与 关键 人 员 
之 间 的 交流 ， 以 确保 网 络 工程 建设 不 偏离 用 户 需 求 。 

在 网 络 开发 过 程 中 ， 都 要 注意 与 用 户 群 交流 的 方法 和 技巧 ， 应 该 避免 交流 不 充分 和 
交流 过 于 频繁 。 避 免 交 流 不 充分 ， 关 键 是 主要 交流 的 方式 和 人 员 ， 找 到 正确 、 对 业务 非 
常 清晰 的 人 既 可 以 减少 交流 的 工作 量 ， 也 可 以 避免 由 于 过 量 而 无 用 的 信息 导致 设计 出 现 
的 偏差 ， 通 常 这 些 熟 悉 业 务 ， 并 有 一 定 归纳 能 力 的 人 ， 都 被 称 为 行业 专家 ， 他 们 对 网 络 
设计 的 影响 和 组 织 的 领导 人 员 是 等 同 的 ， 另外， 交流 的 方式 也 非常 重要 ， 应 针对 不 同 的 
人 员 采 用 不 同 的 交流 方式 ， 例 如 对 于 一 线 工 作 人 员 ， 你 可 以 采用 先 下 发 调查 问卷 ， 再 依 
据 调 查 问 卷 进行 访谈 的 方式 。 避 免 交 流 过 于 频繁 的 关键 在 于 每 次 交流 前 都 要 有 明确 的 交 
流 目 标 ， 同 时 交流 后 的 归纳 和 总 结 同样 可 以 提高 交流 的 效率 ， 否 则 就 会 使 管理 层 和 用 户 
群体 在 项 目 结束 前 就 厌烦 听 到 有 关 网 络 开发 的 细节 ， 从 而 产生 抵触 情绪 ， 给 工作 带 来 
麻烦 。 

收集 用 户 需 求 的 三 种 最 常用 的 方式 如 下 。 

(1) 观察 和 问卷 调查 。 

对 于 一 个 工作 性 质 相 同 的 用 户 群 体 ， 观 察 和 问卷 调查 是 成 本 较 低 、 成 效 快捷 的 收集 
用 户 需 求 方式 。 问 卷 的 制作 应 简单 、 可 操作 性 强 ， 尽 量 使 用 选择 方式 ， 而 不 是 让 用 户 填 
写 大 段 的 文字 ; 而 观察 工作 ， 重 点 是 注意 用 户 对 各 类 信息 、 报 表 、 文 件 的 处 理 。 

另外 ， 问 卷 调查 的 方式 还 可 以 根据 用 户 的 情况 进行 调整 ， 对 于 计算 机 操作 能 力 不 强 
的 用 户 群 ， 只 能 采用 下 发 调查 问卷 ， 并 录入 调查 结构 的 方式 ， 对 于 计算 机 操作 能 力 很 强 
的 用 户 群 ， 可 以 采用 下 发 电子 文档 或 者 开发 调查 网 页 的 方式 ， 简 化 调查 结果 录入 工作 。 

(2) 集中 访谈 。 

不 管 是 否 进 行 大 规模 的 问卷 调查 ， 集 中 访谈 方式 都 是 不 能 忽略 的 ， 对 于 不 需要 进行 
问卷 调查 的 小 规模 网 络 工程 ， 则 可 以 直接 将 用 户 代表 集中 起 来 进行 讨论 ， 明 确 需 求 ， 对 
于 进行 了 问卷 调查 的 大 规模 网 络 工程 ， 则 需要 对 问卷 调查 结果 进行 分 析 ， 抽 取 部 分 用 户 
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代表 ， 就 问卷 形式 无 法 解决 的 问题 进行 讨论 ， 从 而 发 现 深层 次 的 问题 。 

(3) 采访 关键 人 物 。 

采访 关键 人 物 虽 然 涉 及 的 人 员 较 少 ， 整 体 工 作 量 较 小 ， 但 是 由 于 这 些 关 键 人 物 对 网 
络 工程 的 影响 力 ， 其 访谈 的 准备 工作 和 总 结 工作 是 非常 重要 的 。 一 般 来 说 这 些 关 键 人 物 
主要 是 各 级 领导 和 行业 专家 ， 各 级 领导 主要 从 管理 角度 明确 需求 ， 而 行业 专家 则 明确 的 
是 业务 需求 。 

采访 关键 人 物 之 前 ， 一 定 要 有 针对 地 制定 问题 提纲 ， 并 最 好 先 将 提纲 发 给 被 采访 人 
员 ; 在 采访 过 程 开 始 前 ， 应 首先 获取 联系 方式 ， 最 好 和 访谈 者 约定 邮件 、 电 话 、 即 时 通 
信 机 制 ， 对 关键 人 物 不 可 能 一 次 访谈 就 明确 了 所 有 需求 ， 但 是 第 一 次 访谈 一 定 要 形成 需 
求 的 大 致 框架 ， 以 便于 后 期 访谈 工作 的 开展 。 

2) 用 户 服务 

除了 信息 化 程度 很 高 的 用 户 群 体 ， 大 多 数 用 户 都 不 可 能 用 计算 机 的 行业 术语 来 配合 
设计 人 员 的 用 户 需 求 收集 。 设 计 人 员 不 仅 要 将 问题 转化 成 为 普通 业务 语言 ， 也 应 从 用 户 
反馈 的 业务 语言 中 提炼 出 技术 内 容 , 这 需要 设计 人 员 有 大 量 的 工程 经 验 和 需求 调查 经 验 。 

一 般 来 说 ， 用 户 描述 的 需求 总 是 主观 且 可 变 的 ， 与 用 户 的 信息 化 程度 、 经 验 和 环境 
有 很 大 的 关系 。 需 求 收集 人 员 需 要 注意 以 下 方面 内 容 的 表述 ， 否 则 很 容易 形成 需求 的 
偏离 。 

(1) 信息 的 及 时 传输 。 

及 时 传输 能 使 用 户 快速 访问 、 传 输 或 修改 信息 ， 它 主要 取决 于 用 户 对 系统 时 间 的 需 
求 。 但 是 用 户 在 描述 及 时 传输 性 时 , 是 很 难 用 量化 的 时 间 来 描述 的 , 通常 听 到 的 话 是 “ 传 
输 得 够 快 "”“ 不 要 太 慢 ”等 ， 这 需要 调查 人 员 引 入 参照 物 ， 例 如 “ 像 访问 XX 网 站 那样 
快 ”， 从 而 对 及 时 传输 要 求 进行 量化 。 

(2) 响应 时 间 的 可 预测 。 

用 户 对 响应 时 间 的 预测 ， 是 基于 响应 时 间 不 能 影响 其 业务 工作 ， 需 求 收集 人 员 对 每 
个 业务 的 响应 时 间 需 求 的 明确 ， 可 以 通过 对 现 有 业务 时 间 的 调查 来 形成 参照 。 例 如 ， 在 
门诊 挂号 系统 中 ， 每 次 挂号 的 响应 不 能 长 于 现 有 人 工 挂号 的 平均 时 间 。 

(3) 可 靠 性 和 可 用 性 。 

可 靠 性 和 可 用 性 也 是 紧密 相关 的 , 用 户 很 难 区 分 可 靠 性 、 可 用 性 、 可 恢复 性 等 概念 ， 
他 们 只 会 通过 一 些 用 户 体验 性 语言 来 进行 描述 ， 例 如 “这 个 系统 是 不 能 停机 的 “系统 
在 出 故障 后 ,应 该 在 一 个 小 时 内 就 能 恢复 ”需求 收集 人 员 应 提炼 出 对 可 靠 性 、 可 用 性 等 
特定 的 参数 指标 。 

(4) 适应 性 。 

适应 性 是 系统 适应 用 户 改 变 需 求 的 能 力 ， 用 户 只 会 提出 特定 的 服务 要 求 ， 而 不 会 去 
关心 服务 是 如 何在 网 络 中 实现 的 ， 例 如 网 络 用 户 希 望 网 络 中 有 一 台 FTP 服务 器 ， 以 便于 
进行 文件 的 上 下 载 , 但 是 大 多 数 人 是 不 会 关心 这 台 服 务 器 存放 的 位 置 、 采 用 的 操作 系统 、 
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FTP 服务 器 软件 的 版 本 等 信息 。 需 求 收集 人 员 主 要 是 收集 用 户 的 服务 要 求 ， 而 暂时 不 用 
考虑 如 何 实现 ， 这 是 设计 阶段 的 任务 。 

(5) 可 伸缩 性 。 

从 用 户 的 角度 来 看 ， 可 伸缩 性 通常 不 是 在 面谈 和 调查 用 户 时 获得 的 信息 ， 而 是 通过 
估计 公司 预期 的 增长 率 而 得 到 的 。 

(6) 安全 性 。 

安全 性 保证 用 户 所 需 的 信息 和 物理 资源 的 完整 性 ， 但 大 多 数 用 户 很 难 正确 描述 安全 
的 需求 ， 所 以 需求 调查 人 员 的 引导 非常 重要 ， 要 针对 应 用 和 信息 的 需要 来 正确 建议 安全 
技术 。 

(7) 低 成 本 。 

低 成 本 意味 着 实现 相同 的 功能 而 花 的 费用 相对 少 ， 这 是 用 户 所 期 待 的 ， 也 是 网 络 设 
计 者 在 开发 网 络 项 目 时 应 该 追求 的 目标 之 一 。 

3) 需求 归档 机 制 

与 其 他 所 有 技术 性 工作 一 样 ， 必 须 将 网 络 分 析 和 设计 的 过 程 记录 下 来 。 文 档 有 助 于 
将 需求 用 书面 形式 记录 下 来 便于 保存 和 交流 ， 也 有 利于 今后 说 明 需 求 和 网 络 性 能 的 对 应 
关系 。 所 有 的 访谈 、 调 查 问卷 等 最 好 能 由 用 户 代表 进行 签字 确认 ， 同 时 应 根据 这 些 原始 
资料 整理 出 规范 的 需求 文档 。 

3. 输出 用 户 服务 表 

用 户 服务 表 可 用 于 收集 和 归档 需求 类 型 信息 ， 也 可 用 来 指导 管理 人 员 和 网 络 用 户 的 
讨论 。 用 户 服务 表 主 要 是 需求 服务 人 员 自 行使 用 的 表格 ， 不 面向 用 户 ， 类 似 于 备忘录 ， 
在 收集 用 户 需 求 时 ， 应 利用 用 户 服 务 表 随 时 纠正 收集 工作 的 失误 和 偏差 。 

用 户 服务 表 没 有 固定 的 格式 , 各 设计 团队 可 以 根据 自己 的 经 验 自行 设计 用 户 服务 表 
表 2-4 是 一 个 简单 的 示例 。 


表 2-4 用 户 服务 列表 


用 户 服 务 需 求 服务 或 需求 描述 


地 点 

用 户 数量 

今后 3 年 的 期 望 增长 速度 
信息 的 及 时 发 布 

可 靠 性 /可 用 性 

安全 性 

可 伸缩 性 

成 本 

响应 时 间 

其 他 
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2.3.2.3 ”应 用 需求 


1. 收集 应 用 需求 

应 用 需求 收集 工作 应 考虑 如 下 因素 : 

。 应 用 的 类 型 和 地 点 。 

。 使 用 方法 。 

。 需求 增长 。 

。 可 靠 性 和 可 用 性 需求 。 

。 网 络 响应 。 

这 些 需求 因素 的 收集 工作 ， 通 常 可 以 从 两 个 角度 来 完成 ， 一 是 从 应 用 类 型 自身 的 特 
性 角度 ， 另 一 个 是 从 应 用 对 资源 的 访问 角度 。 

2. 应 用 类 型 

应 用 的 种 类 较 多 ， 其 中 常见 的 分 类 方式 主要 有 4 种 : 

。 按 功 能 分 类 。 

。 按 共享 分 类 。 

。 按 响应 分 类 。 

。 按 网 络 模型 分 类 。 

1) 按 功能 分 类 

按 功 能 对 应 用 进行 分 类 ， 则 可 以 将 应 用 划分 为 常见 功能 类 型 和 特定 功能 类 型 。 

常见 功能 类 型 的 应 用 如 图 2-18 所 示 , 这 些 应 用 类 型 中 的 大 多 数 都 是 日 常 工作 中 接触 
较为 频繁 ， 应 用 范围 较 广 的 。 


互联 网 访问 电子 邮件 ”| | 图形 图 像 加 


数据 库 文件 管理 | 文字 处 理 电子 表格 


专用 的 硬件 平台 和 操作 系统 | 


图 2-18 常见 功能 类 型 应 用 


特定 功能 类 型 应 用 主要 用 于 实现 特定 功能 或 面向 特定 工作 。 特 定 功 能 软件 包括 控 
制 、 维 护 网 络 和 计算 机 系统 的 功能 ， 例 如 防 病毒 软件 和 网 络 管理 系统 等 ， 面 向 特定 工作 
的 工具 软件 主要 是 行业 软件 ， 包 括 金 融 计 划 系 统 、 工 程 和 设计 应 用 、 制 造 控制 系统 、 排 
版 工具 等 专业 软件 。 

对 应 用 需求 按 功 能 分 类 ， 依 据 不 同类 型 的 需求 特性 ， 可 以 很 快 归纳 出 网 络 工程 中 应 
用 对 网 络 的 主体 需求 。 

2) 按 共享 分 类 

软件 可 根据 其 在 网 络 中 的 用 户 数 进行 分 类 ， 分 别 为 单 用 户 软 件 、 多 用 户 软件 和 网 络 
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软件 。 

单 用 户 软件 是 运行 于 用 户 本 地 计算 机 的 软件 ， 在 运行 时 只 有 一 个 用 户 可 以 访问 ， 该 
软件 进程 只 能 访问 本 地 资源 ， 不 能 访问 网 络 资源 。 虽 然 网 络 操作 系统 允许 通过 远程 方式 
访问 单机 软件 ， 但 是 该 软件 在 运行 时 是 不 可 能 实现 资源 共享 的 。 

多 用 户 软件 允许 多 个 用 户 同时 使 用 该 软件 ， 并 且 提 供 了 用 户 间 共 享 文件 的 机 制 。 多 
用 户 软件 通过 分 时 机 制 、 线 程 切换 等 多 种 机 制 实现 多 个 用 户 并 发 ， 同 时 通过 文件 锁 机 制 
实现 文件 共享 。 多 用 户 软件 是 借助 于 网 络 实现 信息 的 存储 和 传递 ， 因 此 需要 更 多 的 网 络 
资源 。 

网 络 软件 利用 所 有 的 网 络 资源 ， 网 络 软件 既 可 以 集中 安装 在 一 台 服 务 器 上 ， 也 可 以 
分 布 在 不 同 的 服务 器 上 ， 是 实现 共享 的 最 佳 方式 ， 借 助 于 网 络 和 应 用 协议 来 完成 网 络 资 
源 的 共享 。 

网 络 内 的 应 用 软件 总 是 沿 着 单 用 户 软件 一 多 用 户 软件 一 网 络 软件 这 条 线索 进行 发 
展 ， 随 着 共享 程度 的 提高 ， 会 对 网 络 提出 更 高 的 要 求 。 

3) 按 响应 分 类 

应 用 可 以 分 为 实时 应 用 和 非 实时 应 用 两 种 ， 不 同 响应 方式 具有 不 同 的 网 络 响应 性 能 
需求 。 

实时 应 用 软件 在 收 到 信息 后 马上 处 理 ， 一 般 不 需要 用 户 干涉 ， 这 对 网 络 带宽 、 网 络 
延迟 等 提出 了 明确 的 要 求 。 在 实时 应 用 中 ， 通 常 本 地 进程 需要 和 远程 进程 保持 同步 ， 而 
且 这 些 同步 机 制 是 固定 周期 发 生 的 ， 因 此 实时 应 用 要 求 信息 传输 的 速率 稳定 ， 具 有 可 预 
测 性 。 

非 实时 应 用 更 为 广泛 ， 非 实时 并 不 要 求 规定 的 同步 机 制 ， 只 是 要 求 一 旦 发 生 请 求 ， 
则 需要 在 规定 的 时 限 内 完成 响应 ， 因 此 对 带宽 、 延 迟 的 要 求 较 低 ， 但 是 对 网 络 设备 、 计 
算 机 平台 的 缓冲 区 提出 了 较 高 的 要 求 。 

4) 按 网 络 模型 分 类 

应 用 按 网 络 处 理 模型 ， 可 以 分 为 单机 软件 、 对 等 网 络 软件 、C/S 软件 、BPS 软件 、 
分 布 式 软件 。 

。 单机 软件 指 不 访问 网 络 资源 的 软件 。 

。 对 等 网 络 软件 只 运行 于 互联 网 内 ， 不 区 分 服务 器 和 客户 端的 网 络 软件 。 

。 C/S 软件 指 在 网 络 中 区 分 出 服务 器 和 客户 端的 网 络 软件 系统 。 

。 BPS 软件 指 划 分 了 数据 库 服务 器 、 应 用 服务 器 和 客户 端的 网 络 软件 系统 ，BPS 软 

件 是 三 层 模式 、 多 层 模 式 的 典型 代表 。 

。 分 布 式 软件 指 调度 网 络 中 多 个 资源 完成 一 个 任务 的 网 络 软件 系统 。 

应 用 采用 不 同 的 网 络 处 理 模型 ， 会 对 网 络 产生 不 同 的 需求 。 

3. 对 资源 的 存 取 和 访问 

用 户 对 应 用 系统 的 访问 要 求 是 网 络 设计 的 重要 依据 ， 网 络 工程 必须 保证 用 户 可 以 非 


314 网 络 规划 设计 师 教 程 


常 顺利 地 使 用 软件 并 获取 需要 的 数据 。 用 户 对 网 络 资源 的 存 取 和 访问 ， 是 可 以 通过 各 种 
指标 进行 量化 的 ， 这 些 量化 的 指标 通过 统计 产生 ， 并 直接 反映 了 用 户 的 需求 。 

需要 考虑 的 指标 包括 以 下 一 些 : 

。 每 个 应 用 的 用 户 数量 。 

每 个 用 户 平 均 使 用 每 个 应 用 的 频率 。 

使 用 高 峰 期 。 

平均 访问 时 间 长 度 。 

每 个 事务 的 平均 大 小 。 

每 次 传输 的 平均 通信 量 。 

影响 通信 的 定向 特性 。 例 如 ， 在 一 个 C/S 软件 系统 中 ， 客 户 端 发 送 至 服务 器 端的 
请 求 数据 量 非常 小 ， 但 是 服务 器 端 返回 的 数据 量 较 大 。 

4. 其 他 需求 

(1) 增长 率 。 

由 于 应 用 的 发 展 ， 用 户 数量 不 断 增 长 ， 因 此 对 网 络 的 需求 也 会 随 之 变化 。 在 获取 应 
用 需求 时 ， 需 要 询问 用 户 对 应 用 发 展 的 要 求 或 者 规划 。 

(2) 可 靠 性 和 可 用 性 。 

对 网 络 的 可 靠 性 和 可 用 性 ， 除 了 从 用 户 的 角度 获取 需求 之 外 ， 还 要 对 网 络 中 的 应 用 
进行 分 析 ， 以 便 从 技术 角度 对 网 络 的 可 靠 性 和 可 用 性 需求 进行 补充 ， 其 需求 收集 的 工作 
要 点 在 于 找 出 组 织 中 重要 应 用 系统 的 特殊 可 靠 性 和 可 用 性 需求 ， 例 如 在 公交 公司 的 企业 
网 络 中 ， 对 公交 车 进行 网 络 调度 的 软件 ， 其 可 靠 性 和 可 用 性 需求 就 是 重点 。 

(3) 对 数据 更 新 的 需求 。 

一 个 应 用 对 信息 更 新 的 需求 是 由 用 户 对 最 新 信息 的 需求 来 决定 的 ， 但 是 用 户 对 信息 
更 新 的 要 求 ， 并 不 等 同 于 应 用 对 数据 更 新 的 需求 。 应 用 软件 在 面 对 相 同 的 信息 更 新 需求 
时 ， 如 果 采 用 了 不 同 的 数据 传输 、 存 储 技术 ， 则 会 产生 不 同 的 数据 更 新 需求 ， 而 网 络 设 
计 直 接 面 向 数据 更 新 需求 。 

5. 输出 一 一 应 用 需求 表 

应 用 需求 表 概 括 和 记录 了 应 用 需求 的 量化 指标 , 这 些 量化 指标 会 直接 指导 网 络 设计 。 
表 2-5 为 一 个 典型 的 应 用 需求 表示 例 ， 可 根据 实际 需要 进行 调整 。 


表 2-5 应 用 需求 表 


EE 应 用 类 型 ps 使 用 频率 
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2.3.2.4 ”计算 机 平台 需 


收集 计算 机 平台 需求 是 网 络 分 析 与 设计 过 程 中 一 个 不 可 缺少 的 步骤 ， 需 要 调查 的 计 
算 机 平台 主要 分 为 5 类 : 
个 人 计算 机 。 
工作 站 。 
小 型 机 。 
中 型 机 。 
大 型 机 。 

1. 个 人 计算 机 

在 计算 机 网 络 中 ,个 人 计算 机 (PC) 已 经 不 再 简单 地 作为 网 络 中 的 用 户 终端 来 使 用 
了 ， 由 于 PC 服务 器 技术 的 不 断 发 展 ， 在 很 多 应 用 中 ，PC 服务 器 逐步 取代 了 专用 服务 器 
的 作用 和 地 位 。 

由 于 个 人 计算 机 是 网 络 中 分 布 最 广 、 数 量 最 多 的 节点 ， 虽 然 技术 含量 较 低 ， 但 是 应 
该 重点 分 析 。 在 分 析 个 人 计算 机 需求 时 ， 应 该 考虑 以 下 因素 : 

。 微 处 理 器 。 


ee ee 。。 
四 
™T 
济 
等 


在 设计 网 络 时 ， 用 户 会 针对 PC 服务 器 提出 最 直接 的 需求 ， 需 求 收集 人 员 应 根据 需 
要 进行 各 类 因素 的 技术 指标 设计 ， 在 设计 工作 的 后 期 形成 设备 的 招 投标 技术 参数 。 

1) 微 处 理 器 

微 处 理 器 是 反映 个 人 计算 机 处 理 能 力 的 关键 部 件 ， 其 性 能 主要 体现 在 带宽 和 适中 频 
率 两 个 指标 上 。 目 前 ， 个 人 计算 机 的 微 处 理 器 主要 是 以 x86 系列 为 主 ， 一 般 来 说 ， 应 用 
于 服务 器 上 的 微 处 理 器 和 普通 计算 机 的 微 处 理 器 是 存在 差异 的 。 

目前 , 微 处 理 市 场 主要 由 几 种 产品 构成 , 主流 的 是 x86 系列 产品 , 同时 也 存在 Power 
PC 等 产品 。 其 中 x86 系列 产品 在 指令 位 数 进 入 32 位 后 ， 主 要 的 产品 来 自 于 Intel、 AMD 
等 公司 。 

2) 内 部 存储 器 

内 部 存储 器 是 衡量 桌面 系统 性 能 的 另 一 个 重要 指标 。 广 义 的 内 部 存储 器 包括 随机 存 
储 器 (RAM)、 高 速 缓存 (cache)、 磁 盘 缓 存 (HD cache )。 

(1) 随机 存储 器 。 

随机 存储 器 是 个 人 计算 机 的 关键 部 件 ， 所 有 软件 都 必须 在 装载 至 内 存 后 ， 才 能 处 于 
运行 状态 。RAM 的 发 展 历经 了 SIMM、SIMM FPM/EDO、DIMM SDRAM、DIMM 
RAMBUS 等 多 个 阶段 。 内 存 大 小 是 选择 个 人 计算 机 的 指标 。 
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(2) 高 速 缓存 。 

高 速 缓存 ， 有 时 也 称 为 缓冲 存储 器 或 RAM 缓存 ， 指 的 是 单独 分 出 来 存储 常用 指令 
的 存储 器 的 一 部 分 。 随 着 技术 的 发 展 ， 单 纯 的 高 速 缓存 已 经 不 能 满足 用 户 的 需求 ， 产 生 
了 一 级 缓存 、 二 级 缓存 、 三 级 缓存 的 概念 。 一 般 来 说 ， 一 级 和 二 级 缓存 在 CPU 内 部 ,三 
级 缓存 多 存在 于 主板 上 。 一 级 缓存 的 大 小 将 直接 决定 程序 的 运行 效率 。 

(3) 磁盘 缓存 。 

磁盘 缓存 的 工作 原理 与 高 速 缓存 相同 , 它 并 不 采用 高 速 的 SRAM, 而 是 传统 的 RAM。 
磁盘 缓存 存在 多 种 形式 ， 一 种 是 操作 系统 在 内 存 中 维持 一 个 磁盘 缓存 区 域 ， 保 证 对 磁盘 
的 高 速 访问 ;另外 是 通过 磁盘 阵列 卡 上 的 RAM 部 件 实现 对 磁盘 数据 缓存 。 

3) 计算 机 总 线 

计算 机 总 线 技术 的 发 展 经 历 了 8 位 ISA 总 线 、16 位 ISA 总 线 、32 位 EISA 总 线 、64 
位 PCI 总 线 ， 目 前 个 人 计算 机 或 者 服务 器 主要 适用 的 PCI 技术 是 PCI-X 或 者 是 EPCI 
技术 。 

4) 操作 系统 

操作 系统 是 影响 个 人 计算 机 的 主要 因素 之 一 ， 完 成 输入 输出 、 用 户 交 互 、 文 件 管理 、 
进程 管理 等 基本 任务 。 目 前 个 人 技术 上 的 操作 系统 以 Windows 和 UNIX 为 主 。 

(1) Windows 操作 系统 。 

微软 《Microsoft) 公司 在 PC 操作 系统 市 场 占 主导 地 位 ， 曾 依靠 DOS 操作 系统 打开 
市 场 , 现在 Windows NT (Microsoft 公司 的 32 位 多 任务 操作 系统 ) 继续 保持 增长 的 趋势 。 
微软 的 操作 系统 经 历 了 DOS、Windows 32、Windows 95/98、windows NT、Windows 2000、 
Windows XP、Windows 2003、Window Vista; 目前 普通 计算 机 上 的 主流 Windows 操作 系 
统 为 Windows XP 和 Windows Vista, 而 服务 器 上 主流 Windows 操 作 系 统 为 Windows 2003。 

(2) UNIX 操作 系统 。 

个 人 计算 机 上 的 UNIX 操作 系统 较 多 ， 包 括 Banyan VINES、SCO UNIX、Solaris、 
Linux， 其 中 由 芬兰 赫尔辛基 大 学 Linus Torvalds 设计 的 Linux 占据 了 主流 地 位 ， 该 操作 
系统 基于 自由 源 代码 ， 符 合 标准 操作 系统 界面 (POSIX) 的 标准 ， 是 一 种 真正 的 多 用 户 、 
多 任务 、 可 移植 性 好 的 操作 系统 。 

目前 应 用 较为 广泛 的 中 文 版 的 Linux 有 以 下 几 种 : RedHat Linux、 红 旗 Linux、Turbo 
Linux、Xteam Linux、Tom Linux、COSIX Linux 等 。 

2. 工作 站 

工作 站 是 一 种 以 个 人 计算 机 和 分 布 式 网 络 计算 为 基础 ， 主 要 面向 专业 应 用 领域 ， 有 具 
备 强大 的 数据 运算 与 图 形 、 图 像 处 理 能 力 ， 为 满足 工程 设计 、 动 画 制作 、 科 学 研究 、 软 
件 开发 、 金 融 管理 、 信 息 服务 、 模 拟 仿真 等 专业 领域 而 设计 开发 的 高 性 能 计算 机 。 

工作 站 应 用 的 领域 主要 包括 以 下 一 些 方面 : 

。 计算 机 辅助 设计 及 制造 CAD/CAM: 这 是 工作 站 的 传统 领域 ， 借 助 于 运行 图 形 工 
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作 站 上 的 CAD/CAM 软件 ， 可 以 直观 化 、 高 精度 、 高 效率 地 实现 制造 设计 ， 大 大 
缩短 产品 开发 周期 。 

动画 设计 : 用 户 群 主要 是 电视 台 、 广告 公司 、 影 视 制作 公司 、 游 戏 软 件 开 发 公司 、 
室内 装饰 公司 ， 通 过 图 形 工作 站 强大 的 二 维 、 三 维 图 形 图 像 计 算 处 理 能 力 ， 完 成 
各 种 二 、 三 维 动画 设计 。 

GIS 地 理 信息 系统 : 客户 群 主要 是 城市 规划 单位 、 环 保 部 门 、 地 理 地 质 勘 测 院 、 
研究 所 等 ， 通 过 在 图 形 工作 站 上 运行 的 GIS 软件 ， 实 现 各 类 行业 管理 信息 与 空间 
地 理 信 息 的 集成 。 

。 平面 图 像 处 理 : 用 户 通常 是 以 图 形 工作 站 为 硬件 平台 ， 以 Photoshop、CorelDraw 
等 软件 为 操作 工具 ， 致 力 于 图 片 影像 处 理 、 广 告 及 宣传 彩 页 设计 、 包 装 设计 、 纺 
织品 图 案 设计 等 。 

。 模拟 仿真 : 在 军事 领域 ， 模 拟 仿真 技术 是 训练 战斗 机 驾驶 员 、 坦 克 驾 驶 员 以 及 模 
拟 海上 航行 的 有 效 手 段 ; 在 科研 开发 领域 ， 它 使 设计 者 在 制作 样机 之 前 ， 就 可 以 
在 图 形 工作 站 上 进行 仿真 运行 ， 及 时 发 现 问题 ， 对 设计 进行 修改 。 

典型 的 工作 站 包括 一 个 32 位 高 速 微 处 理 器 ，64 位 浮 点 处 理 单元 ，Unix 操作 系统 /X 

Windows 图 形 用 户 界 面 ,加速 图 形 控制 器 ，17 一 19 英寸 彩色 显示 器 和 内 置 的 以 太 网 联网 
功能 。 

3. 小 型 机 

小 型 机 是 指 运行 原理 类 似 于 个 人 计算 机 , 但 性 能 及 用 途 又 截然 不 同 的 一 种 高 性 能 计 
算 机 ， 它 是 20 世纪 70 年 代 由 DEC (数字 设备 公司 ) 公司 首先 开发 的 一 种 高 性 能 计算 
产品 。 

小 型 机 具有 区 别 PC 及 其 服务 器 的 特有 体系 结构 ， 同 时 应 用 了 各 制造 厂 自己 的 专利 
技术 ， 有 的 还 采用 小 型 机 专用 处 理 器 。 例 如 美国 Sun、 日 本 Fujitsu (富士 通 ) 等 公司 的 
小 型 机 是 基于 SPARC 处 理 器 架构 ， 美 国 HP 公司 的 小 型 机 是 基于 PA-RISC 架构 。 

小 型 机 的 IO 总 线 也 不 同 于 一 般 的 个 人 计算 机 ， 例 如 Fujitsu 是 PCI，Sun 是 SBUS。 
这 同样 意味 着 各 公司 小 型 机 上 的 插 卡 ， 如 网 卡 、 显 示 卡 、SCSI 卡 等 可 能 也 是 专用 的 。 

此 外 ， 小 型 机 使 用 的 操作 系统 一 般 是 基于 Unix 内 核 的 专用 产品 ，Sun、Fujitsu 使 用 
的 操作 系统 是 Sun Solaris，HP 小 型 机 使 用 的 是 HP-UX，IBM 小 型 机 使 用 的 是 AIX。 

所 以 小 型 机 是 封闭 专用 的 计算 机 系统 ， 使 用 小 型 机 的 用 户 一 般 是 看 中 Unix 操作 系 
统 的 安全 性 、 可 靠 性 和 专用 服务 器 的 高 速 运算 能 力 。 

在 网 络 工程 中 , 如 果 用 户 对 应 用 提出 了 较为 苛刻 的 安全 性 、 可 靠 性 和 专用 性 的 要 求 ， 
则 可 以 考虑 采用 小 型 机 作为 应 用 的 服务 器 。 

4. 中 型 机 

在 当前 的 网 络 工程 中 ， 己 经 不 再 严格 划分 中 型 机 和 小 型 机 ， 更 多 的 情况 下 ， 中 型 机 
更 相当 于 小 型 机 中 的 高 档 产 品 。 
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在 大 多 数 厂 商 的 非 x86 服务 器 产品 中 ， 一 般 会 存在 着 多 种 系列 ， 最 常见 的 产品 划分 
方式 为 部 门 级 服务 器 、 企 业 级 服务 器 和 电信 级 服务 器 ， 大 多 数 情况 下 ， 可 以 将 部 门 级 、 
企业 级 服务 器 等 同 于 小 型 机 ， 而 将 电信 级 服务 器 等 同 于 中 型 机 。 

S. 大 型 机 

大 型 机 和 相关 的 客户 机 -服务 器 产品 可 以 管理 大 型 网 络 , 存储 大 量 重要 数据 以 及 驱动 
数据 并 保证 其 数据 的 完整 性 。 大 型 机 系统 具有 较 高 的 可 用 率 、 高 带宽 的 输入 输出 设备 、 
严格 的 数据 备份 和 恢复 机 制 、 高 水 平 的 数据 集成 和 安全 性 能 。 

大 型 机 由 CPU、 主 存 操作 员 控 制 台 、LO 通道 、 通 信 控 制 器 、 磁 盘 控 制 器 、 存 储 控 
制 器 、 磁 带子 系统 、 显 示 器 、 打 印 机 等 组 件 构成 ， 具 有 物理 尺寸 大 、 系 统 容量 大 、 运 行 
速度 高 、 容 错 能 力 强 、 系 统 安 全 性 高 、 事 务 处 理 能 力 强 的 特点 。 

大 型 机 目前 仍然 在 金融 行业 、 记 账 系统 、 订 单 处 理 系统 、 大 型 互联 网 应 用 、 复 杂 数 
据 处 理 、 联 机 交易 系统 、 科 学 计算 等 领域 发 挥 作用 ， 但 是 随 着 计算 机 小 型 化 的 发 展 ， 大 
型 机 将 逐步 退出 应 用 市 场 。 

在 网 络 设计 中 ， 只 有 全 国 、 全 行业 级 的 应 用 中 ， 才 会 出 现 大 型 机 的 应 用 需求 。 

6. 输出 一 一 计算 机 平台 需求 表 

计算 机 平台 需求 表 是 总 结 用 户 对 计算 机 平台 需求 的 表格 ， 通 过 对 该 表格 的 填写 ， 为 
后 期 的 计算 机 平台 参数 指标 确定 工作 葛 定 基础 。 表 2-6 是 各 类 计算 机 平台 的 需求 表 。 


表 2-6 计算 机 平台 需求 表 


指标 分 类 指标 要 求 
ee 


CPU 个 数 
大 小 


内 存 访问 延迟 
容错 
一 级 容量 


Cache 


硬盘 
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指标 分 


类 指标 要 求 


网 络 接口 


电源 功 耗 


物理 指标 


2.3.2.5 ”网 络 需求 
需求 分 析 的 最 后 工作 是 考虑 网 络 管理 员 的 需求 ， 这 些 需 求 包括 以 下 内 容 


。 局 域 网 功 


能 。 


。 网 络 拓扑 结构 。 


。 性 能 。 


网 络 管理 。 
网 络 安 全 。 
城 域 网 /广域网 的 选择 。 


1. 局 域 网 功能 

1) 局 域 网 网 段 分 布 

传统 局 域 网 络 中 ， 由 二 层 交 换 机 构成 局 域 网 骨干 ， 整 个 网 络 其 实 是 一 个 广播 域 ， 在 
这 样 的 网 络 中 ， 网 段 是 由 交换 机 上 的 一 个 端口 下 连 的 共享 设备 形成 的 ， 网 段 内 部 用 户 间 
通信 不 需要 通过 交换 设备 ， 而 段 间 通信 需要 通过 交换 设备 进行 存储 转发 。 


在 现代 局 域 


网 中 ， 由 于 三 层 交换 技术 的 引入 ， 由 三 层 交 换 设备 构成 局 域 网 骨干 ， 这 


个 网 络 中 存在 多 个 广播 域 ， 其 实 是 多 个 小 型 局 域 网 ， 这 些小 型 局 域 网 通过 三 层 设备 的 路 


由 交换 功能 互联 ; 


在 这 种 局 域 网 络 中 ， 网 段 的 概念 发 生 了 变化 ， 其 实 就 是 一 个 独立 的 广 


播 域 ， 一 个 典型 的 VLAN。 


无 论 是 哪 种 


网 段 ， 都 是 计算 机 节点 的 一 种 划分 方式 ， 但 是 基于 三 层 交 换 技术 的 网 段 


划分 方式 逐渐 成 为 主流 ; 一 般 情 况 下 ， 局 域 网 网 段 和 用 户 群 的 分 布 是 一 致 的 ， 但 是 也 存 
在 一 定 的 差异 ; 允许 一 个 网 段 内 部 存在 多 个 用 户 群 ， 也 人 允许 一 个 用 户 群 占据 多 个 网 段 。 


对 于 升级 的 


网 络 ， 可 以 对 现 有 网 段 划 分 方式 进行 改进 ， 形 成 新 的 划分 方案 ; 对 于 新 


建 网 络 ， 则 是 和 网 络 管理 员 一 起 商量 网 段 划 分 方式 ; 无 论 哪 种 情况 ， 最 终 都 应 形成 网 段 
分 布 需求 ， 也 就 是 用 户 群 和 网 段 的 关系 需求 。 


320 网 络 规划 设计 师 教程 


2) 评估 局 域 网 网 段 

局 域 网 网 段 的 分 布 ， 主 要 是 依据 业务 上 的 特殊 要 求 ， 而 这 些 业务 上 的 特殊 要 求 ， 会 
导致 不 同 的 网 段 存 在 不 同 的 功能 要 求 。 在 进行 网 络 需 求 收集 时 ， 应 该 找到 各 网 段 所 需要 
的 功能 清单 ， 并 明确 网 段 中 功能 的 重要 性 。 表 2-7 是 一 个 局 域 网 功能 表示 例 ， 借 助 于 该 
功能 表 ， 可 以 方便 地 进行 各 网 段 的 网 络 功能 收集 工作 。 


表 2-7 局 域 网 功能 表 


| 服务 器 网 段 | ”管理 网 段 XX 网 段 YY 网 段 忆 网 自 
功能 (1~100) (1~100) (1~100) (1~100) (1~100) 


文件 服务 


Email 肌 | | | 
Im 和 | 
数据 库 服务 | | | | 
应 用 服务 | | | 
网 络 人 真子 | | | | 
mr 用 | | 
祝 顷 用 | | | | 
系统 管理 服务 | | | | 
网 络 管理 服务 | | | | 
安全 管 B 有 和 | | | | 
数据 备份 肌 | | | | 
eb 用。 | | | | 


( 注 : 网 段 的 百分率 可 以 通过 用 户 数 的 比例 来 产生 。) 


3) 局 域 网 负载 

局 域 网 的 负载 是 和 应 用 有 关联 的 ， 根 据 局 域 网 络 的 功能 需求 ， 可 以 分 析出 局 域 网 络 
的 负载 。 在 进行 网 络 负载 分 析 时 ， 要 针对 各 种 应 用 和 功能 服务 ， 评 估 服 务 的 平均 事务 量 
或 文件 传输 大 小 ， 同 时 估算 用 户 访问 频率 ， 经 过 简单 计算 就 可 以 估算 出 网 络 的 负载 。 

对 于 升级 的 网 络 ， 可 以 对 现 有 网 络 通过 各 种 测试 工具 获取 网 络 流量 分 析 ， 从 而 获取 
当前 网 络 的 负载 ， 作 为 升级 后 网 络 负载 的 参照 。 

对 于 非 专 用 设计 标准 ， 根 据 经 验 或 简单 的 方法 进行 评估 就 可 以 了 ; 对 于 较为 复杂 、 
网 络 要 求 较 高 的 网 络 ， 对 各 种 服务 的 平均 事务 量 、 文 件 传输 大 小 、 用 户 访问 频率 ， 都 应 
根据 实际 测试 的 值 ， 来 进行 局 域 网 的 负载 运算 。 

2. 网 络 拓扑 结构 

网 络 拓扑 结构 分 为 广域网 拓扑 结构 和 局 域 网 拓扑 结构 ， 这 两 类 拓扑 结构 的 差异 性 
较 大 。 
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局 域 网 的 一 个 重要 特征 就 是 在 信息 传输 上 采用 广播 方式 , 其 覆盖 范围 小 、 专 用 性 强 ， 
具有 较为 稳定 和 规范 的 拓扑 结构 。 传 统 局 域 网 中 常见 的 网 络 拓扑 结构 包括 星 型 结构 、 总 
线 型 结构 、 树 型 结构 、 环 形 结构 等 ， 图 2-19 为 局 域 网 拓扑 结构 的 示意 图 。 在 现代 交换 网 
络 中 ， 部 分 传统 拓扑 结构 已 经 不 再 沿用 ， 但 星 型 结构 、 环 型 结构 等 拓扑 结构 仍 在 发 挥 
作用 。 


2-19 局域网 拓扑 结构 


广域网 在 信息 传输 上 采用 点 到 点 方式 ， 其 连接 主要 依靠 公用 通信 设施 ， 网 络 拓 扑 结 
构 较 为 复杂 。 传 统 广域网 拓扑 结构 主要 包括 集中 式 拓扑 结构 、 分 散 式 拓扑 结构 、 分 布 式 
拓扑 结构 等 ， 图 2-20 为 广域网 拓扑 结构 的 示意 图 。 在 现代 网 络 中 ， 这 些 拓扑 结构 仍 在 大 
量 使 用 。 

在 收集 网 络 需求 时 ， 需 要 和 网 络 管理 人 员 就 网 络 拓扑 结构 进行 讨论 ， 并 就 网 络 拓扑 
结构 的 优 劣 进行 分 析 ， 然 后 达成 一 致 性 意见 。 

3. 性 能 

网 络 需求 收集 工作 中 ， 针 对 网 络 的 性 能 需求 ， 可 以 考虑 以 下 方面 内 容 : 

。 网 络 容量 和 响应 时 间 。 

。 可 用 性 。 

。 备份 管 理 和 存档 。 

网 络 的 性 能 需求 是 在 需求 分 析 过 程 中 ， 由 网 络 管理 人 员 提 出 的 ， 这 些 需求 不 同 于 用 
户 需求 和 应 用 需求 ， 它 来 自 于 网 络 管理 人 员 的 工程 和 管理 经 验 。 这 些 性 能 需求 不 能 作为 
设计 工作 的 直接 依据 ， 但 是 应 作为 参考 要 求 。 
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图 2-20 广域网 拓扑 结构 


1) 网 络 容量 和 响应 时 间 
这 里 的 网 络 容量 和 响应 时 间 要 求 ， 并 不 是 来 自 于 复杂 的 网 络 分 析 ， 而 是 直接 来 自 于 
网 络 管理 人 员 的 要 求 。 在 有 些 网 络 工程 中 ， 网 络 管理 人 员 提 出 的 网 络 容量 和 响应 时 间 要 
高 于 用 户 和 应 用 的 需求 。 
2) 有 效 性 
有 效 性 需求 是 指 在 进行 网 络 建设 策略 的 选择 时 产生 的 各 种 过 滤 条 件 ， 不 满足 条 件 的 
策略 是 不 能 被 选择 的 。 有 效 性 条 件 没有 固定 的 模式 ， 主 要 是 由 各 种 条 件 构成 ， 通 常 考虑 
如 下 方面 的 内 容 。 
。 局 域 网 拓扑 结构 : 网 络 管理 人 员 认 同 的 拓扑 选择 条 件 会 对 后 期 的 设计 产生 影响 ， 
例如 不 能 存在 单 点 效应 等 。 
。 网 络 设备 : 网 络 管理 人 员 提 出 的 各 种 网 络 设备 选择 条 件 ， 甚 至 是 网 络 管理 部 门 认 
同 的 产品 喜好 等 ， 会 直接 决定 能 够 采购 的 网 络 产品 范围 ， 例 如 核心 设备 不 选择 国 
产 设备 、 网 络 设备 要 采用 标准 协议 等 。 
。 服务 器 设备 : 由 于 服务 器 产品 较为 统一 ， 因 此 选择 条 件 相对 较为 统一 ， 例 如 PC 
服务 器 不 选择 塔 式 服务 器 ， 服 务 器 选择 两 路 CPU 还 是 四 路 CPU 等 。 
。 存储 设备 : 存储 设备 由 于 其 特殊 性 ， 选 择 性 条 件 较 多 ， 并 且 直接 关系 到 产品 的 选 
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型 ,例如 存储 产品 是 否 和 服务 器 产品 的 厂商 保持 一 致 ， 是 采用 FC-SAN 还 是 采用 
IP-SAN， 带 库 是 采用 物理 带 库 还 是 虚拟 带 库 等 。 

安全 设备 : 安全 设备 种 类 繁多 ， 设 计 复杂 ， 虽 然 形成 了 特定 的 安全 体系 ， 但 是 仍 
缺乏 统一 的 标准 ， 因 此 安全 设备 选择 条 件 较为 复杂 ， 例 如 安全 产品 能 否 选 择 国外 
产品 ， 是 否 考虑 物理 安全 技术 ， 是 否 实现 防火 墙 和 IDS 联动 等 。 

机 房 : 机 房 选择 条 件 非常 复杂 ， 从 装饰 材料 的 选择 到 门禁 系统 的 要 求 等 ， 涵 盖 了 
机 房 装 修 的 各 个 方面 。 

产品 供应 商 的 选择 条 件 : 产品 供应 商 的 选择 条 件 ， 主 要 是 针对 产品 供应 、 备 品 备 
件 、 厂 商 服务 等 提出 的 明确 要 求 ， 这 些 是 选择 产品 供应 商 的 关键 。 

线路 运营 商 的 选择 条 件 : 网 络 管理 人 员 一 般 会 针对 线路 运营 商 提出 较为 明确 的 选 
择 条 件 ， 包 括 维护 人 员 要 求 、 线 路 元 余 要 求 、 故 障 响应 要 求 、 代 维 要 求 等 。 
集成 商 的 选择 条 件 : 集成 商 选择 条 件 将 直接 决定 入 围 的 集成 商 ， 一 般 包 括 注册 资 
金 、 流 动 资金 、 人 员 数 量 、 高 级 工程 师 数量 、 集 成 资质 等 内 容 。 


在 网 络 设计 工作 中 ， 这 些 琐碎 的 选择 条 件 ， 其 实 对 设计 工作 的 影响 是 非常 大 ， 很 多 
项 目 就 是 因为 在 需求 调查 工作 中 , 没有 注意 这 些 有 效 性 条 件 的 收集 而 导致 了 失误 和 失败 。 

3) 数据 备份 和 容 灾 需 求 

数据 备份 和 容 灾 需 求 是 网 络 工程 中 的 重点 内 容 ， 对 于 一 些 特定 行业 来 说 ， 数 据 是 至 
关 重 要 的 ， 数 据 一 旦 丢失 ， 将 会 造成 不 可 挽回 的 损失 。 因 此 ， 对 数据 备份 和 容 灾 需 求 是 
网 络 需求 调查 中 的 重点 内 容 。 

根据 不 同 的 网 络 工程 规模 ， 存 在 两 种 建设 情况 ， 一 种 是 需要 建设 复杂 的 数据 中 心 和 
容 灾 备 份 中 心 ， 另 外 一 种 仅 建立 数据 备份 和 容 灾 机 制 。 

(1) 数据 中 心 和 容 灾 备份 中 心 。 

数据 中 心 建设 需要 收集 的 需求 包括 以 下 一 些 内 容 : 


链 路 和 带宽 需求 。 

接 入 设备 需求 。 

互联 协议 需求 。 

数据 中 心 局 域 网 区 域 划分 需求 。 
数据 中 心 设备 需求 。 
数据 库 平 台 需 求 。 

安全 设备 需求 。 

机 房 及 电源 需求 。 

数据 中 心 托管 及 服务 需求 。 
数据 资源 建设 规划 需求 。 
数据 备份 管理 机 制 需 求 。 


容 灾 备份 中 心 的 需求 内 容 和 数据 中 心 基本 一 致 ， 但 是 建设 内 容 稍 有 差异 。 
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在 数据 中 心 和 容 灾 备 份 中 心 之 间 关 键 的 是 容 灾 方式 ， 容 灾 方 式 的 建设 分 为 数据 级 容 
灾 和 应 用 级 容 灾 ， 并 且 容 灾 方 式 存在 国际 标准 ， 应 正确 引导 网 络 管理 人 员 ， 达 成 数据 中 
心 、 容 灾 备 份 中 心 、 容 灾 方 式 建设 需求 的 一 致 性 。 

(2) 数据 备份 和 容 灾 机 制 。 

相对 于 建设 复杂 的 数据 中 心 和 容 灾 备份 中 心 这 样 庞大 的 工程 ， 建 立 简单 有 效 的 数据 
备份 和 容 灾 机 制 ， 对 小 型 网 络 是 合适 并 有 效 的 。 

正确 备份 信息 在 网 络 恢复 信息 时 显得 尤为 重要 ， 必 须 制 订 很 好 的 防御 和 恢复 策略 ， 
必须 执行 严格 的 备份 过 程 和 存档 处 理 。 在 选择 备份 方针 和 技术 时 ， 必 须 对 整个 组 织 的 风 
险 做 一 下 评估 ， 确 定 各 种 数据 的 相对 重要 性 。 

制订 的 恢复 方案 至 少 应 该 包括 如 下 内 容 : 

。 选择 媒体 以 供 备 份 ， 包 括 磁盘 阵列 或 者 磁带 库 。 

。 保护 现场 数据 。 

。 保护 现场 外 的 备份 数据 。 

。 制定 数据 应 急 预 案 。 

4. 网 络 管理 

网 络 管理 人 员 的 管理 思路 、 产 品 喜 好 、 管 理 要 求 是 决定 建设 网 络 管理 平台 的 关键 ， 
由 于 网 络 管理 是 网 络 工程 中 较为 复杂 ， 牵 涉 面 较 广 的 建设 内 容 ， 需 要 与 网 络 管理 人 员 重 
点 进行 交流 ， 获 取 明 确 的 需求 。 网 络 管理 的 需求 主要 从 以 下 方面 进行 。 

1) 建设 思路 及 目的 

。 明确 网 络 管理 的 目的 。 企 业 网 络 管理 的 主要 目的 是 提高 网 络 可 用 性 、 改 进 网 络 性 

能 、 减 少 和 控制 网 络 费用 以 及 增强 网 络 安全 性 等 ， 网 管 员 可 以 根据 自身 需要 进行 
补充 与 调整 。 

。 掌握 网 络 管理 的 要 素 。 网 络 管理 平台 的 建设 要 注意 与 企业 业务 需求 的 结合 ， 完 
而 理想 的 网 络 管理 解决 方案 ， 应 该 根据 应 用 环境 和 网 络 对 业务 流程 ， 以 及 用 户 需 
求 的 端 到 端 关 联 关系 ， 来 管理 网 络 及 其 所 有 设备 。 
明晰 管理 的 网 络 资源 。 网 络 资源 就 是 指 网 络 中 的 硬件 设备 、 整 个 环境 中 运行 的 软 
件 以 及 所 提供 的 服务 等 ， 网 络 管理 员 必 须 明确 需要 管理 的 资源 。 
。 注重 软件 资源 管理 和 软件 分 发 。 网 络 管理 系统 的 软件 资源 管理 和 软件 分 发 功能 ， 
是 指 优化 管理 信息 的 收集 ， 此 外 软件 资源 管理 是 对 企业 所 拥有 的 软件 授权 数量 和 
安装 地 点 进行 管理 。 软 件 分 发 则 是 通过 网 络 把 新 软件 分 发 到 各 个 站 点 ， 并 完成 安 
装 和 配置 工作 。 这 些 特 定 的 需求 需要 管理 员 进 行 明确 。 
应 用 管理 不 容 忽 视 。 应 用 管理 用 于 测量 和 监督 特定 的 应 用 软件 及 其 对 网 络 传输 流 
量 的 影响 。 网 络 管理 员 通 过 应 用 管理 可 以 跟踪 网 络 用 户 和 运行 的 应 用 软件 ， 改 善 
网 络 的 响应 时 间 。 网 络 管理 人 员 应 明确 在 应 用 管理 方面 的 需求 。 
2) 网 络 管理 功能 要 求 
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网 络 管理 具有 五 大 基本 功能 ， 设 计 人 员 应 协助 网 络 管理 员 对 各 种 功能 提出 较为 明确 
的 需求 。 

。 性 能 管理 : 管理 员 要 明确 性 能 管理 的 内 容 ， 主 要 是 需要 监视 网 络 运行 的 参数 ， 如 
吞吐 率 、 响 应 时 间 、 网 络 的 可 用 性 等 。 
故障 管理 : 管理 员 要 明确 故障 的 展现 形式 、 记 录 方 式 、 应 急 响 应 机 制 等 要 求 。 
配置 管理 : 管理 员 要 明确 配置 管理 的 图 形 展 现 要 求 、 设 备 配置 要 求 、 设 备 状态 配 
置 要求 等 基本 需求 。 

。 计 费 管理 : 管理 员 要 明确 计 费 方式 、 费 用 数据 采集 等 基本 需求 。 

。 安全 管理 : 网 管 系统 对 安全 管理 的 功能 较 弱 ， 管 理 员 要 明确 安全 管理 的 具体 内 容 。 

3) 网 络 管理 软件 

选择 网 管 软件 的 要 求 直 接 体现 了 网 管 人 员 的 产品 喜好 ， 同 时 也 可 以 明确 对 网 管 软件 
的 要 求 。 

。 企业 需要 哪些 管理 功能 : 网管 软件 都 是 价格 不 菲 的 ， 所 以 在 为 企业 选择 网 管 软件 
时 ， 一 定 要 考虑 到 目前 与 未 来 企业 网 络 环境 发 展 的 需要 。 一 个 好 的 网 络 管理 系统 
必须 适合 企业 业务 发 展 的 需要 。 

网 络 管理 软件 支持 哪些 标准 : 网 管 人 员 需 要 明确 产品 对 网 管 协议 的 支持 程度 ， 尤 
其 是 SNMP 和 RMON 协议 ， 需 要 明确 到 协议 的 版 本 和 关键 细节 。 
。 支持 各 种 硬件 、 软 件 的 范围 : 不 同 网 管 软件 对 不 同 产品 的 支持 是 不 一 样 的 ， 管 理 
人 员 需 要 明确 什么 样 的 硬件 、 软 件 纳入 网 络 管理 范畴 ， 才 能 设 定 符合 要 求 的 产品 
范围 。 

。 可 管理 性 : 可 管理 性 是 由 网 管 需求 对 被 管理 设备 提出 的 需求 ， 可 管理 性 要 求 指 设 

备 对 协议 、 管 理 信息 库 等 、 图 形 库 等 各 方面 的 支持 ， 也 属于 网 管 平 台 的 需求 。 
$5. 网 络 安全 

网 络 安全 体系 是 建设 网 络 工程 的 有 效 内 容 之 一 ， 不 管 网 络 工程 规模 如 何 ， 都 应 该 存 
在 一 个 可 扩展 的 总 体 安全 体系 框架 。 对 于 不 同 的 网 络 工程 ， 人 允许 建 设 不 同 的 安全 体系 框 
架 ， 图 2-21 就 是 一 个 较为 常见 、 可 行 的 安全 体系 框架 ， 设 计 人 员 在 进行 网 络 安全 需求 收 
集 时 ， 可 以 依据 该 框架 进行 安全 需求 的 明确 。 

在 图 2-21 所 示 的 安全 体系 框架 中 ,安全 管理 体系 是 整个 安全 架构 的 基础 ,使 安全 问 
题 可 控 可 管 ， 以 安全 技术 为 核心 的 技术 措施 (包括 机 房 及 物理 线路 安全 、 网 络 安 全 、 系 
统 安全 、 应 用 安全 、 安 全 信任 体系 等 ), 使 安全 手段 更 加 可 靠 ; 以 容 灾 与 恢复 为 目标 的 后 
备 保障 措施 ， 可 以 对 付 重大 灾难 性 事件 后 的 网 络 重建 ; 以 安全 运 维 支持 服务 作为 外 部 支 
撑 条 件 ， 使 安全 问题 能 够 及 时 有 效 地 解决 。 

基于 以 上 框架 ， 对 于 网 络 安全 的 需求 ， 设 计 人 员 应 该 协助 网 络 管理 人 员 ， 对 安全 管 
理 体 系 、 运 营 服务 体系 、 数 据 容 灾 与 恢复 、 安 全 信任 体系 等 方面 的 需求 进行 确定 。 同 时 ， 
对 于 技术 措施 需求 ， 可 以 借鉴 表 2-8 的 内 容 进行 明确 。 
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济 研 浪 肖 济济 
税 误 虹 为 上 请 泛 


2-21 ”安全 体系 框架 的 示例 


表 2-8 技术 措施 需求 表 
需求 项 目 需求 项 目 需求 项 目 


计算 机 通信 线路 安全 | 骨干 线路 元 余 防 护 


需求 项 目 
主要 设备 的 防 雷 


技术 措施 层次 
机 房 及 物理 线 


路 安全 需求 击 措施 
安全 区 域 划分 “| 安全 区 域 级 别 区 域内 部 安全 策略 和 


路 由 设备 安全 
抗 DDoS 
网 络 监控 与 审计 | 访问 控制 | | 


内 核 加 固 病毒 防护 桌面 安全 管理 
系统 监控 与 审计 | 访问 控制 ~ | 


应 用 安全 需求 | 数据 库 安全 邮件 服务 安全 Web 服务 安全 


6. 城 域 网 /广域网 的 选择 

对 于 一 般 的 网 络 工程 来 说 ， 城 域 网 和 广域网 用 于 连接 局 域 网 ， 并 形成 完整 的 企业 网 
络 或 者 行业 网 络 。 城 域 网 /广域网 通过 连接 设备 和 通信 线路 ,实现 各 远程 局 域 网 络 之 间 的 
互联 ， 而 选择 通信 线路 实现 连接 则 是 建设 城 域 网 /广域网 的 重点 。 

选择 城 域 网 /广域网 可 供 选用 的 连接 方案 有 以 下 两 种 ， 如 图 2-22 所 示 。 

。 点 对 点 线路 交换 服务 (拨号 线路 或 租用 线路 )。 

。 分 组 交换 服务 。 


入 侵 检 测 
网 络 监控 与 审计 


网 络 安全 需求 


漏洞 发 现 与 补丁 
管理 
系统 备份 与 恢复 


系统 安全 需求 


应 用 系统 定制 
安全 
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虚拟 电路 “一 一 一 二 一 a 
” ~ 


局 域 网 络 


局 域 网 络 ES 


局 域 网 络 
路 由 设备 


物理 线路 


(b) 分 组 交换 方式 


图 2-22 ” 城 域 网 /广域网 连接 方案 


如 图 2-22 所 示 , 在 点 对 点 线路 交换 服务 方式 中 , 存在 局 域 网 路 由 设备 和 线路 交换 设 
备 两 类 设备 ， 这 些 设 备 之 间 通 过 物理 线路 互 连 ， 在 路 由 设备 之 间 建 立 的 是 虚拟 电路 ， 数 
据 分 组 仅 在 路 由 设备 上 进 形 封装 和 解 封 ， 在 线路 交换 设备 以 数据 帧 或 信号 的 方式 进行 传 
递 ; 在 分 组 交换 方式 中 ， 路 由 器 和 分 组 交换 设备 之 间 通 过 分 组 交换 协议 互 连 ， 数 据 分 组 
在 路 由 设备 、 分 组 交换 设备 上 都 存在 封装 和 解 封 。 所 以 ， 点 对 点 线路 交换 方式 中 ， 相 当 
于 两 台 局 域 网 路 由 器 通过 虚拟 电路 直接 互 连 ， 而 分 组 交换 方式 中 ， 两 台 局 域 网 路 由 器 之 
间 存 在 由 多 个 路 由 设备 构成 的 分 组 网 络 。 

1) 点 对 点 线路 交换 服务 

点 对 点 连接 是 在 两 个 节点 间 建 立 一 个 永久 的 或 暂时 的 虚拟 或 物理 连接 。 较 为 常见 的 
点 对 点 服务 如 表 2-9 所 示 。 


表 2-9 常见 点 对 点 线路 交换 服务 
拨号 线路 14.4~56Kbps 音频 线路 
Tt 1.544Mbps 同步 时 分 复 用 线路 


El 同步 时 分 复 用 线路 
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续 表 
技术 类 型 物理 介质 备 注 

T3 45Mbps 同 轴 电缆 同步 时 分 复 用 线路 
OC-3 155.52Mbps 光纤 异步 时 分 复 用 线路 
OC-12 622.08Mbps 光纤 异步 时 分 复 用 线路 
OC-48 2.488Gbps 光纤 异步 时 分 复 用 线路 
OC-96 9.953Gbps 光纤 异步 时 分 复 用 线路 
SDH STM-1 光纤 同步 时 分 复 用 线路 
SDH STM-4 622.08Mbps 光纤 同步 时 分 复 用 线路 
SDH STM-16 光纤 同步 时 分 复 用 线路 
SDH STM-64 光纤 同步 时 分 复 用 线路 
2) 分 组 交换 服务 


分 组 交换 服务 在 连接 广域网 节点 时 灵活 性 更 大 ， 并 且 成 本 较 低 ， 随 着 运营 商 在 数据 
网 络 上 的 投入 逐步 增加 和 VPN 技术 的 发 展 ， 通 过 包 交 换 服务 来 连接 局 域 网 络 已 经 成 为 
主流 方式 。 表 2-10 列 出 了 常见 的 分 组 交换 服务 方式 。 


表 2-10 常见 分 组 交换 服务 


技术 类 型 数据 传输 率 备注 

X25 64Kbps 数据 分 组 交换 ，IP 为 网 络 层 常见 协议 

ISDN 128Kbps~1.544Mbps 数据 分 组 交换 ，IP 为 网 络 层 常见 协议 

帧 中 继 64Kbps~1.544Mbps 数据 帧 交换 ，IP 为 网 络 层 常见 协议 

AIM 51.84Mbps~2.488Gbps 信 元 交换 ，JP 为 网 络 层 常见 协议 

以 太 网 络 ”| 10Mbps 一 10Gbps 数据 帧 交换 ，IP 为 网 络 层 常见 协议 

VPN 2Mbps~10Gbps 人 Pp 分 组 交换 ,借助 于 二 层 、 三 层 隧道 技术 

MPLS VPN | 2Mbps~10Gbps 人 p 分 组 交换 ， 借 助 于 MPLS VPN 技术 
7. 需求 表 


网 络 需 求 输出 的 表 包 括 局 域 网 功能 、 网 络 拓扑 结构 、 网 络 管理 、 网 络 安全 、 城 域 
网 /广域网 选择 等 分 项 需求 表 。 由 于 网 络 需 求 涉及 面 广 、 内 容 较为 复杂 ， 而 且 不 同 的 网 络 
工程 其 网 络 需求 差异 较 大 ， 因 此 网 络 需 求 表 并 不 需要 严格 的 格式 ， 设 计 人 员 可 以 根据 上 
文 内 容 ， 自 行 设计 网 络 需求 表格 。 


2.3.3 ”编制 需求 说 明 书 
通过 需求 收集 工作 ， 网 络 设计 人 员 会 获取 大 量 的 需求 信息 ， 这 些 信 息 由 各 种 独立 的 


表格 、 散 乱 的 文字 以 及 部 分 统计 数据 等 构成 ， 这 些 需 求 信息 应 整合 形成 正式 的 需求 说 明 
书 ， 以 便于 后 期 设计 、 实 施 、 维 护 工作 的 开展 。 
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需求 说 明 书 是 网 络 设计 过 程 中 第 一 个 正式 的 可 以 传阅 的 重要 文件 ， 其 目的 在 于 对 收 
集 到 的 需求 信息 作 清 晰 的 概括 整理 ， 这 也 是 用 户 管理 层 将 正式 批阅 的 第 一 个 文件 。 

1. 数据 准备 

数据 准备 工作 是 开始 编制 需求 说 明 书 的 前 期 工作 ， 主 要 由 两 个 步骤 构成 : 

第 一 步 是 要 将 原始 数据 制 成 表 ， 从 各 个 表 看 其 内 在 的 联系 及 模式 ; 

第 二 步 是 要 把 大 量 的 手写 调查 问卷 或 表格 信息 转换 成 电子 表格 或 数据 库 ， 由 于 录入 
工作 量 较 大 ， 可 以 求助 于 用 户 单位 或 雇用 临时 工 。 

另外 ， 对 于 需求 收集 阶段 产生 的 各 种 资料 ， 包 括 手册 、 报 表 、 原 始 单据 等 ， 无 论 其 
介质 是 纸 质 还 是 电子 的 ， 都 应 该 编辑 目录 并 归档 ， 便 于 后 期 查阅 。 

2. 需求 说 明 书 的 组 成 

编写 需求 说 明 书 的 目的 是 能 够 向 管理 人 员 提 供 决策 用 的 信息 ， 因 此 说 明 书 应 该 做 到 
尽量 简明 且 信 息 充分 ， 以 节省 管理 人 员 的 时 间 。 

网 络 需 求 说 明 书 不 存在 国际 或 国家 标准 ， 即 使 存在 一 些 行 业 标 准 ， 也 只 是 规定 了 需 
求 说 明 书 的 大 致 内 容 要 求 。 这 主要 是 由 于 网 络 工程 需求 涉及 内 容 较 广 ， 个 性 化 较 强 ， 而 
且 不 同 的 设计 队伍 对 需求 的 组 织 形 式 也 不 一 样 。 

对 网 络 需求 说 明 书 ， 存 在 两 点 要 求 : 首先 ， 无 论 需 求 说 明 书 的 组 织 形式 如 何 ， 网 络 
需求 说 明 书 应 包含 业务 、 用 户 、 应 用 、 计 算 机 平台 、 网 络 5 个 方面 的 需求 内 容 ， 其 次 ， 
为 了 规范 需求 说 明 书 的 编制 ， 一 般 情况 下 ， 需 求 说 明 书 应 该 包括 以 下 5 个 部 分 : 

。 综述 。 

。 需求 分 析 阶 段 概述 。 
需求 数据 总 结 。 

按 优先 级 排队 的 需求 清单 。 
申请 批准 部 分 。 
综述 

需求 说 明 书 的 第 一 部 分 内 容 是 综述 ， 对 网 络 工 程 项 目的 主要 内 容 、 重 要 性 等 进行 一 
个 简单 的 描述 。 综 述 应 包括 的 内 容 如 下 : 

。 对 项 目的 简单 概述 。 

。 设计 过 程 中 各 个 阶段 的 清单 。 

。 项 目 各 个 阶段 的 状态 ， 包 括 已 完成 的 阶段 和 现在 正 进行 的 阶段 。 

4. 需求 分 析 阶 段 总 结 

需求 分 析 阶 段 总 结 主要 是 总 结 需求 分 析 阶 段 的 工作 ， 总 结 内 容 包 括 : 

。 接触 过 的 群体 和 代表 人 名 单 。 

。 标明 收集 信息 的 方法 〈 访 谈 、 集 中 访谈 、 调 查 等 )。 

。 访谈 、 调 查 总 次 数 。 

。 取得 的 原始 资料 数量 (调查 问卷 、 报 表 等 )。 
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。 在 调查 工作 中 遇 到 的 各 种 困难 等 。 

5. 需求 数据 总 结 

对 从 需求 调查 中 获取 的 数据 ， 需 要 认真 总 结 并 归纳 出 信息 ， 并 通过 多 种 形式 进行 展 
现 。 在 对 需求 数据 进行 总 结 时 ， 应 注意 以 下 几 点 。 

(1) 简单 直接 。 提供 的 总 结 信息 应 该 简单 易 懂 , 并 且 将 重点 放 在 信息 的 整体 框架 上 ， 
而 不 是 具体 的 需求 细节 。 另 外 ， 为 了 方便 用 户 进行 阅读 ， 应 尽量 使 用 用 户 的 行业 术语 ， 
而 不 是 技术 术语 。 

(2) 说 明 来 源 和 优先 级 。 对 于 需求 ， 要 按照 业务 、 用 户 、 应 用 、 计 算 机 平台 、 网 络 
等 进行 分 类 ， 并 明确 各 类 需求 的 具体 来 源 〈 例 如 人 员 、 政 策 等 )。 

(3) 尽量 多 用 图 片 。 图 片 的 使 用 可 以 使 读者 更 容易 了 解数 据 模式 ， 在 需求 数据 总 结 
中 大 量 使 用 图 片 ， 尤 其 是 数据 表格 的 图 形 化 展示 ， 是 非常 有 必要 的 。 

(4) 指出 矛盾 的 需求 。 在 需求 中 会 存在 一 些 矛盾 ， 需 求 说 明 中 应 对 这 些 矛 盾 进 行 说 
明 ， 以 使 设计 人 员 找 到 解决 方法 ， 同 时 ， 如 果 用 户 人 员 给 出 了 矛盾 中 目标 的 优先 级 别 ， 
则 需要 特殊 标记 ， 以 便 在 无 法 避免 矛盾 的 时 候 ， 先 实现 高 级 别 的 目标 。 

6. 按 优先 级 排队 的 需求 清单 

对 需求 数据 进行 整理 总 结 之 后 ， 按 照 需求 数据 的 重要 性 列 出 数据 的 优先 级 别 清单 。 

7. 申请 批准 部 分 

在 编写 需求 说 明 书 时 ， 需 要 预 留 大 量 对 需求 进行 确认 或 者 申请 批准 的 内 容 ， 确 切 地 
说 ， 就 是 要 预 留 大 量 用 户 管理 人 员 签 字 的 空间 。 由 于 需求 说 明 书 是 开展 后 期 设计 工作 的 
基础 ， 必 须 避 免 用 户 需 求 和 收集 材料 的 不 一 致 性 ， 因 此 预 留 申请 批准 部 分 是 必需 的 。 

8. 修改 需求 说 明 书 

由 于 需求 经 常 发 生变 化 ， 因 此 ， 在 编写 需求 说 明 书 的 时 候 ， 也 要 考虑 到 怎样 设计 修 
改 需求 说 明 书 。 如 果 的 确 需要 修改 ， 最 好 不 要 改变 原来 的 数据 和 信息 ， 可 以 考虑 在 需求 
说 明 书 中 附加 一 部 分 内 容 ， 说 明 修 改 的 原因 ， 解 释 管理 层 的 决定 ， 然 后 给 出 最 终 的 需求 
说 明 。 


2.4 通信 规范 


2.4.1 通信 规范 分 析 


在 网 络 的 分 析 和 设计 过 程 中 ， 通 信 规 范 分 析 处 于 第 二 个 阶段 ， 通 过 分 析 网 络 通信 流 
量 和 通信 模式 ， 发 现 可 能 导致 网 络 运行 瓶颈 的 关键 技术 点 ， 从 而 在 设计 工作 避免 这 种 情 
况 的 发 生 。 

通信 规范 分 析 通 过 对 通信 流量 的 大 小 和 通信 模式 的 估 测 和 分 析 ， 为 逻辑 设计 阶段 提 
供 了 重要 的 设计 依据 。 由 于 网 络 的 复杂 性 , 通信 规范 分 析 的 成 果 必 然 允许 存在 一 定 误差 ， 
但 是 这 些 成 果 依 然 可 以 为 设计 工作 带 来 很 大 的 便利 ， 避 免 设 计 工作 的 盲目 性 。 
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通信 模式 分 析 

通信 边界 分 析 
通信 规范 通信 流 分 布 分 析 
分 析 1 通信 量 分 析 


网 络 基准 分 析 
编写 通信 规范 


2.4.2 ”通信 模式 


在 计算 机 网 络 中 ， 通 信 是 通信 模式 和 通信 量 的 组 合 。 在 第 2.3.2 节 介绍 应 用 需求 时 ， 
提 到 了 应 用 软件 按照 网 络 处 理 模 型 ， 可 分 为 单机 软件 、 对 等 网 络 软件 、C/S 软件 、BPS 
软件 、 分 布 式 软件 ， 而 这 些 应 用 的 网 络 处 理 模式 对 于 网 络 设计 来 说 ， 其 数据 的 网 络 传递 
模式 就 是 通信 模式 。 在 通信 规范 分 析 阶 段 ， 了 解 通信 模式 非常 重要 ， 该 通信 模式 将 直接 
决定 网 络 流量 在 不 同 网 段 的 分 布 ， 同 时 结合 流量 的 通信 量 ， 就 可 以 获取 不 同 网 段 的 总 通 
信 量 大 小 。 

通信 模式 基本 与 应 用 软件 的 网 络 处 理 模型 相同 ， 也 分 为 4 种: 

。 对 等 通信 模式 。 

。 客户 机 -服务 器 通信 模式 。 

。 浏览 器 -服务 器 通信 模式 。 

。 分 布 式 计算 通信 模式 。 

网 络 中 每 个 网 络 节点 工作 在 何 种 模式 下 ， 主 要 取决 于 网 络 资源 、 节 点 和 应 用 程序 的 
分 布 ， 大 多 数 时候 ， 网 络 节点 会 同时 工作 在 多 种 模式 下 。 例 如 ， 一 台 工 作 站 既 需 要 和 
同 工 作 组 的 计算 机 进行 对 等 通信 ， 同 时 ， 由 于 安装 了 C/S 软件 ， 又 需要 和 服务 器 进行 
通信 。 

由 这 4 种 通信 模式 分 析 得 到 的 通信 规范 可 以 使 设计 者 对 网 络 的 分 析 设 计 工 作 有 一 个 
全 面 的 了 解 ; 同时 ， 对 确定 网 络 的 逻辑 网 络 设计 和 物理 网 络 设计 起 着 重要 的 作用 。 此 外 ， 
在 逻辑 网 络 设计 阶段 ,通信 模式 还 可 以 帮助 网 络 设计 者 了 解 网 络 的 性 能 特性 和 互联 策略 。 

1， 对 等 通信 模式 

对 等 通信 模式 指 相似 计算 机 节点 间 的 通信 ， 在 这 种 模式 中 ， 参 与 的 网 络 节点 都 是 平 
等 角色 ， 既 是 服务 的 提供 者 ， 也 是 服务 的 享受 者 。 由 于 参与 通信 的 节点 有 相似 的 应 用 程 
序 和 通信 和 能力， 因此 在 对 等 通信 模式 中 ， 流 量 通 常 是 双向 对 称 的 。 对 等 通信 模式 的 最 大 
用 途 在 于 在 局 域 网 段 中 ， 计 算 机 都 被 配置 成 为 对 等 方式 ， 不 需要 借助 于 中 心服 务 器 来 完 
成 通信 ; 另外， 随 着 QQ、BT、 视 频 会 议 等 基于 互联 网 的 P2P 应 用 的 推广 ， 对 等 通信 模 
式 开 始 突破 局 域 网 络 ， 并 开始 对 网 络 产生 巨大 的 影响 。 
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典型 的 对 等 通信 模式 包括 以 下 内 容 : 
。 利用 P2P 协议 的 BT、 超 级 旋风 等 软件 ， 这 些 软件 在 运行 时 ， 既 从 网 络 上 获取 文 
件数 据 块 ， 同 时 也 提供 已 下 载 文件 块 的 共享 ， 所 有 节点 既是 服务 器 也 是 客户 机 。 
。 处 于 远程 站 点 的 商业 人 员 之 间 使 用 视频 会 议 系 统 召 开会 议 是 对 等 通信 应 用 的 一 
个 例子 。 在 会 议 过 程 中 ， 每 个 与 会 人 员 都 可 以 随时 按 其 所 需 来 交流 ， 所 有 站 点 对 
服务 质量 的 需求 都 相同 。 
在 对 等 通信 模式 中 ， 每 个 节点 都 有 可 能 与 网 络 中 的 其 他 节点 建立 连接 或 者 发 送 数 
据 ， 但 是 在 进行 通信 规范 分 析 时 ， 可 以 认为 对 于 每 个 节点 来 说 ， 都 抽象 成 一 个 双向 的 输 
入 输出 流 ， 该 流 的 输入 和 输出 流量 一 致 ， 如 图 2-23 所 示 。 


局 域 网 
/广域网 


实际 P2P 
双向 数据 流 


0 
0 ~、, 


> 
~ 
Ns 


i 


2-23 ”对 等 通信 模式 


2. 客户 机 -服务 器 通信 模式 

客户 机 -服务 器 通信 模式 〈ClientUServer，C/S) 是 指 在 网 络 中 存在 一 个 服务 器 和 多 个 
客户 机 ， 由 服务 器 负责 进行 应 用 计算 、 客 户 机 进行 用 户 交互 的 通信 模式 ， 也 是 目前 应 用 
最 为 广泛 的 一 种 通信 方式 。 

客户 机 -服务 器 通信 模式 对 客户 机 、 服 务 器 的 选 型 并 没有 严格 限制 , 应 根据 应 用 需要 
进行 选择 ;与 对 等 通信 的 随机 模式 不 同 的 是 ， 客 户 机 -服务 器 通信 模式 有 其 方向 性 ,通信 
流向 取决 于 各 个 客户 机 使 用 的 应 用 程序 类 型 。 图 2-24 是 客户 机 -服务 器 通信 模式 中 的 网 
络 流量 分 布 。 

在 客户 机 -服务 器 通信 模式 中 , 信息 流量 以 双向 非 对 称 的 方式 流动 ， 因 此 可 以 分 解 成 
客户 机 至 服务 器 和 服务 器 至 客户 机 两 个 信息 流向 ， 在 不 同 的 应 用 中 ， 这 两 个 流向 的 通信 
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流量 是 不 同 的 ， 所 以 要 分 开 进行 计算 。 


加 客户 机 至 服务 器 yy 
局 域 网 RS 
/广域网 ) 


~ > 
服务 器 @ 服 务 器 至 客户 机 -一 一 客户 机 


2-24 客户 机 -服务 器 通信 模式 


(1) 服务 器 至 客户 机 流量 大 。 

在 视频 点 播 服务 中 ， 所 有 的 客户 机 通过 安装 的 视频 点 播 软件 访问 服务 器 上 的 视频 资 
源 ， 客 户 端 软件 仅仅 向 服务 器 提交 格式 简单 、 数 据 量 较 小 的 控制 报 文 ， 而 服务 器 端 则 需 
要 以 视频 流 的 格式 ， 以 每 秒 1 一 2Mbps 的 速率 向 客户 端 发 送 数据 ;在 视频 点 播 服务 中 
客户 机 至 服务 器 端的 流量 要 远 小 于 服务 器 至 客户 机 的 流量 ， 甚 至 可 以 忽略 不 计 。 

这 样 的 服务 主要 是 多 媒体 类 型 服务 ， 通 常情 况 下 客户 端 至 服务 器 端的 流量 远 小 于 服 
务 器 至 客户 端的 流量 ， 可 以 在 进行 通信 规范 设计 时 忽略 不 计 。 

另外 ， 基 于 HTTP 协议 的 WWW 服务 、OLAP 等 服务 ， 也 属于 这 种 情况 。 

(2) 客户 机 至 服务 器 流量 大 。 

客户 机 至 服务 器 流量 比较 大 的 应 用 较 少 ， 典 型 的 是 基于 SNMP 协议 的 网 管 服务 ， 对 
于 网 管 平台 来 说 ， 各 个 被 管理 的 设备 都 是 客户 端 ， 而 网 管 服务 器 则 是 服务 器 ， 网 络 设备 
不 断 向 网 管 服务 器 发 送 大 量 的 状态 数据 ， 而 服务 器 仅 返回 应 答 或 修改 指令 ;因此 客户 机 
至 服务 器 的 流量 要 明显 大 于 反 向 的 流量 。 

这 样 的 服务 主要 是 监控 、 日 志 等 类 型 的 服务 ， 在 进行 通信 规范 设计 时 ， 可 以 对 服务 
器 至 客户 机 的 流量 进行 忽略 。 

(3) 双向 流量 大 。 

对 于 C/S 通信 模式 ， 大 多 数 应 用 双向 的 流量 都 比较 大 ， 双 向 的 流量 都 和 用 户 类 型 、 
服务 时 段 、 用 户 操作 等 因素 有 关 。 

例如 ， 在 邮件 服务 中 ,客户 端 借助 于 SMTP 完成 向 邮件 服务 器 发 送 大 数据 量 的 电子 
邮件 ， 也 可 以 通过 POP3 协议 从 邮件 服务 器 上 获取 大 数据 量 的 电子 邮件 ;在 文件 传输 服 
务 中 ， 客 户 端 既 可 以 借助 于 FTP 协议 向 文件 服务 器 上 载 文件 ， 也 可 以 借助 于 同样 的 协议 
下 载 文件 ， 在 数据 库 服务 器 中 ， 客 户 端 既 要 向 数据 库 服务 器 插入 数据 ， 也 要 完成 数据 的 
检索 。 

在 这 种 类 型 的 通信 模式 中 ， 双 向 流量 的 大 小 关系 并 不 严格 地 存在 ， 而 是 根据 用 户 使 
用 情况 决定 的 ， 因 此 在 进行 通信 规范 设计 时 ， 这 类 服务 的 双向 流量 都 不 能 被 忽略 ， 应 根 
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据 应 用 的 情况 评估 流量 的 大 小 。 

3. 浏览 器 -服务 器 通信 模式 

浏览 器 -服务 器 通信 模式 是 三 层 模式 与 四 层 模 式 的 典型 代表 , 其 表现 是 通过 客户 端的 
浏览 器 ， 应 用 服务 器 负责 业务 罗 辑 ， 数 据 库 服务 器 完成 数据 存储 、 计 算 、 处 理 和 检索 。 
浏览 器 -服务 器 通信 模式 中 , 存在 应 用 服务 器 和 多 个 客户 机 之 间 的 通信 以 及 应 用 服务 器 和 
数据 库 服务 器 之 间 的 通信 ， 如 图 2-25 所 示 。 


DD 客户 机 至 服务 器 yy 
局 域 网 
/广域网 


\@ 数 据 库 至 应 


os 


数据 库 服务 器 “一 庙 用 服 


图 2-25 浏览 器 -服务 器 通信 模式 


浏览 器 -服务 器 通信 模式 较为 特殊 , 可 以 将 应 用 服务 器 与 客户 机 之 间 的 通信 看 成 是 一 
个 典型 的 C/S 通信 模式 ， 而 将 应 用 服务 器 与 数据 库 服 务 器 之 间 的 通信 看 成 是 一 个 只 有 一 
台 客 户 机 《应 用 服务 器 被 看 成 客户 机 ) 的 C/S 通信 模式 。 应 用 服务 器 与 客户 机 之 间 的 通 
信 ， 一 般 情况 下 属于 “服务 器 至 客户 机 流量 大 ”的 类 型 ， 而 应 用 服务 器 与 数据 库 之 间 的 
通信 ， 一 般 属于 “双向 流量 大 ”的 类 型 。 

4. 分 布 式 计算 通信 模式 

分 布 式 计算 是 指 多 个 计算 节点 协同 工作 来 完成 一 项 共同 任务 的 应 用 ， 在 解决 分 布 式 
应 用 ， 提 高 性 能 价格 比 ， 提 供 共享 资源 的 实用 性 、 容 错 性 以 及 可 伸缩 性 方面 有 着 巨大 的 
发 展 潜力 。 

分 布 式 计算 的 通信 流量 特征 比较 复杂 ， 一 般 情况 下 系统 中 存在 少量 任务 管理 节点 和 
大 量 计 算 节点 。 对 于 有 些 系统 来 说 ， 任 务 管理 节点 很 少 明确 告诉 计算 节点 应 当做 什么 ， 
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因此 通信 流量 很 少 ， 而 有 些 系统 的 任务 管理 节点 及 计算 节点 却 很 繁忙 。 由 于 任务 管理 节 
点 根据 当前 资源 的 可 用 性 及 特定 的 资源 分 配 策略 分 配 任务 ， 这 使 得 通信 流量 难以 预测 。 


2.4.3 ”通信 边界 


网 络 设计 者 必须 清楚 网 络 中 的 各 种 通信 边界 ， 这 些 边 界 当前 主要 以 三 种 形式 存在 : 
一 种 是 局 域 网 络 中 的 通信 边界 ， 一 种 是 广域网 络 中 的 通信 边界 ， 另 一 种 是 虚拟 专用 网 络 
的 通信 边界 。 

在 网 络 设计 中 , 通过 对 通信 边界 的 分 析 , 可 以 有 助 于 设计 人 员 找 出 网 络 中 的 关键 点 ， 
因为 通常 情况 下 ， 通 信 的 边界 都 是 故障 易 发 位 置 。 

1. 局 域 网 通信 边界 

局 域 网 的 通信 边界 主要 是 网 络 中 的 冲突 域 和 广播 域 ， 在 局 域 网 络 建设 中 ， 主 要 是 通 
过 划分 冲突 域 和 广播 域 来 限制 通信 量 。 

1) 冲突 域 和 广播 域 

在 传统 的 局 域 网络 中 ， 所 有 的 计算 机 通过 共享 性 连接 设备 进行 互 连 。 例 如 传统 以 太 
网 络 中 ， 主 要 是 通过 同 轴 电 线 、 双 绞 线 连接 的 中 继 器 、 集 线 器 等 设备 构成 局 域 网 络 。 网 
络 中 所 有 计算 机 节点 是 以 竞争 的 方式 访问 同一 个 共享 介质 ， 任 何 两 台 计 算 机 同时 发 送 数 
据 都 会 产生 冲突 ， 这 样 的 局 域 网 其 实 是 一 个 完整 的 冲突 域 。 同 时 由 于 任何 的 计算 机 节点 
发 送 了 广播 报 文 ， 网 络 中 所 有 的 计算 机 都 能 够 收 到 ， 因 此 网 络 同时 也 是 一 个 广播 域 。 现 
在 仍 较为 常见 的 冲突 域 多 是 基于 集线器 构成 的 小 型 网 络 ， 如 图 2-26 所 示 。 


图 2-26 ”由 集线器 连接 构成 的 冲突 域 


随 着 传统 局 域 网 络 中 计算 机 设备 越 来 越 多 ， 网 络 中 产生 冲突 的 可 能 性 也 越 来 越 大 ， 
当 网 络 中 计算 机 数量 超过 一 定数 量 后 ， 冲 突 就 会 导致 整个 网 络 通信 处 于 瘫痪 状态 。 为 了 
避免 这 种 情况 ， 可 以 借助 于 特定 的 网 络 设备 ， 把 网 络 划 分 为 多 个 冲突 域 ， 将 冲突 的 范围 
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限制 在 多 个 冲突 域内 ， 这 样 只 有 在 冲突 域内 的 两 台 计算 机 同时 发 送 数据 才 会 产生 冲突 ; 
同时 ， 网 络 中 任何 的 节点 发 送 广 播报 文 ， 网 络 中 的 其 他 计算 机 都 可 以 接收 到 ， 所 以 这 个 
网 络 仍然 是 一 个 广播 域 .将 一 个 广播 域 划 分 为 多 个 冲突 域 的 网 络 设备 是 网 桥 或 者 交换 机 ， 
目前 较为 常见 的 是 利用 交换 机 连接 多 个 冲突 域 ， 如 图 2-27 所 示 。 


广播 域 


冲突 域 


< SA < 
计算 机 < 计 守 机 计 备 轴 CY 计 LihHNLC 计 激 机 
笔记 本 笔记本 笔 放 本 J 
2-27 ”通过 交换 机 划分 的 多 个 冲突 域 


在 图 2-26 中 ， 整 个 网 络 所 有 计算 机 设备 共享 10M 带宽 ， 而 在 图 2-27 中 ， 每 个 集 线 
器 形成 的 冲突 域 共享 10M 带宽 ， 而 交换 机 实现 了 多 个 冲突 域 之 间 独 占 10M 带宽 ， 从 而 
大 大 提高 了 网 络 的 有 效 带 宽 。 

随 着 交换 技术 的 发 展 ， 网 络 中 的 共享 设备 逐步 退出 应 用 ， 随 着 “交换 到 桌面 ”的 实 
现 ， 冲 突 域 逐 步 缩减 为 交换 机 的 一 个 端口 ， 但 整个 网 络 仍 然 是 一 个 广播 域 ， 由 于 广播 域 
内 计算 机 数量 增加 ， 网 络 中 产生 的 广播 报 文 会 越 来 越 多 ， 会 形成 广播 风暴 并 消耗 大 量 的 
网 络 交换 容量 ;为 避免 这 种 情况 的 发 生 ， 可 以 将 网 络 划分 为 多 个 广播 域 ， 限 制 广播 风暴 
的 影响 范围 。 在 网 络 中 划分 广播 域 可 以 采用 两 种 方法 ， 一 种 方法 是 采用 交换 机 上 提供 
的 虚拟 局 域 网 (VLAN) 技术， 另外 一 种 方法 是 采用 路 由 器 连接 多 个 交换 机 形成 的 广 
播 域 。 

VLAN 技术 结合 三 层 交 换 技术 是 当前 建设 园区 网 络 的 主流 方式 ， 局 域 网 内 部 的 多 台 
交换 设备 划分 为 多 个 VLAN， 多 个 VLAN 之 间 通 过 带 有 路 由 功能 的 三 层 交 换 设备 互 连 ， 
如 图 2-28 所 示 。 

为 了 建立 隔离 的 广播 域 ， 必 须 在 第 三 层 对 网 络 进行 网 段 划分 ， 三 层 交 换 设备 或 路 由 
器 有 效 地 将 常规 网 络 通信 和 广播 式 网 络 通信 限制 在 每 个 网 段 内 ， 只 引导 网 段 间 的 通信 ， 
从 而 提高 了 整个 网 络 的 有 效 吞 吐 能 力 。 

2) 局 域 网 通信 流量 边界 

冲突 域 和 广播 域 由 不 同 的 局 域 网 络 设备 创建 。 冲 突 域 的 创建 主要 由 传统 的 共享 性 设 
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备 和 共享 性 介质 完成 ， 而 广播 域 创 建 除 冲突 域 设备 之 外 还 可 以 借助 于 交换 式 设备 完成 。 
由 于 冲突 域 的 特殊 性 ， 不 可 能 出 现 一 套 共 享 物理 设备 中 存在 两 个 以 上 的 冲突 域 的 情况 ; 
因此 冲突 域 的 边界 不 能 由 共享 性 设备 完成 ， 主 要 是 由 路 由 或 交换 性 设备 构建 ， 所 以 冲突 
域 边界 只 能 采用 物理 边界 方式 。 而 广播 域 建设 中 ， 由 于 VLAN 技术 的 应 用 ， 在 一 套 物理 
的 交换 设备 中 , 可 以 同时 存在 多 个 相互 之 间隔 离 的 逻辑 广播 域 ， 所 以 广播 域 边界 可 以 采 
用 物理 边界 和 逻辑 边界 两 种 方式 。 


图 2-28 多 个 广播 域 划 分 


随 着 交换 技术 在 局 域 网 络 中 的 应 用 ， 冲 突 域 逐 渐 退 出 应 用 领域 并 缩减 为 交换 机 上 的 
一 个 端口 ， 在 当今 的 局 域 网 络 中 ， 除 了 较为 特殊 或 者 陈旧 的 网 络 工程 ， 基 本 上 都 是 以 广 
播 域 建设 为 主 的 。 

3) 广播 域 物理 边界 

广播 域 的 边界 是 局 域 网 广播 报 文 可 以 传递 到 的 边界 ， 通 常情 况 下 是 网 络 设 备 的 端口 
或 者 网 卡 。 在 传统 局 域 网 中 ,划分 广播 域 边界 的 设备 是 路 由 器 , 一 般 情况 下 路 由 器 的 一 
个 端口 就 是 一 个 独立 的 物理 广播 域 。 通 过 路 由 器 ， 可 以 较为 清晰 地 完成 广播 域 的 物理 边 
界 划分 ， 并 且 可 以 真正 隔离 网 络 广播 风暴 产生 的 网 络 拥塞 ， 如 图 2-29 所 示 。 

在 进行 通信 规范 分 析 时 ， 如 采用 物理 边界 ， 则 各 广播 域 的 负载 是 独立 的 ， 不 会 产生 
全 加 效应 ， 广 播 风 暴 效应 也 不 会 相互 影响 ， 但 是 网 络 管理 工作 量 较 大 。 

4) 逻辑 边界 

在 现代 交换 式 局 域 网 中 ，VLAN 技术 对 来 自 于 不 同 广播 域 的 数据 帧 进行 数据 封装 ， 
在 一 套 交换 设备 中 进行 存储 转发 时 ， 相 互 之 间 不 会 产生 影响 ， 因 此 可 以 实现 多 个 虚拟 广 
播 域 在 一 套 物理 交换 设备 中 的 共存 。VLAN 的 划分 方式 存在 基于 设备 端口 、 物 理 地 址 、 
网 络 地 址 、 策 略 等 多 种 方式 ， 所 以 广播 域 的 划分 不 再 是 静态 的 ， 而 是 动态 变化 的 ， 另 外 
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由 于 多 个 VLAN 是 共存 关系 ， 一 个 VLAN 的 广播 帧 虽然 不 会 传播 至 其 他 VLAN， 但 由 
于 共用 交换 设备 ， 所 有 VLAN 需要 共享 交换 设备 的 交换 容量 ， 所 以 当 一 个 VLAN 产生 
广播 风暴 导致 交换 设备 阻塞 时 ， 也 会 对 其 他 VLAN 产生 间接 影响 。 


图 2-29 广播 域 物理 边界 


基于 网 络 设备 端口 的 VLAN 划分 方式 是 应 用 最 广 、 最 易于 管理 的 方式 ， 这 种 方式 划 
分 的 广播 域 是 静态 的 ， 因 此 在 网 络 设计 中 ， 除 非特 殊 的 用 户 需 求 ， 都 采用 这 种 方式 划分 
广播 域 。 在 进行 通信 规范 分 析 时 ， 应 以 基于 端口 的 划分 方式 为 分 析 依 据 ， 分 析 广 播 域 的 
负载 是 如 何 合 加 至 网 络 设备 的 。 

图 2-30 就 是 一 个 典型 的 广播 域 逻 辑 边 界 划分 , 采用 基于 端口 的 划分 方式 , 广播 域 的 
边界 是 交换 机 上 划 归 VLAN 的 端口 ;局域网 中 的 核心 交换 机 承载 着 多 个 VLAN 的 通信 
负载 ,是 所 有 VLAN 通信 流量 的 总 和 ， 而 会 聚 交换 机 则 根据 承载 的 广播 域内 节点 数量 不 
同 而 不 同 。 

通过 两 种 通信 边界 的 分 析 ， 可 以 看 出 它们 对 通信 规范 分 析 工 作 的 影响 是 不 一 样 的 。 

2. 广域网 通信 边界 

传统 的 广域网 是 由 通信 线路 所 形成 的 点 对 点 网 络 ， 在 这 些 单纯 的 点 对 点 网 络 中 ， 由 
于 点 对 点 线路 的 通信 都 是 独立 并 且 有 通信 服务 质量 保障 ， 所 以 并 不 存在 通信 边界 问题 。 
但 是 随 着 网 络 规模 的 不 断 发 展 ， 广 域 网 络 的 情况 越 来 越 复杂 ， 路 由 规划 则 成 为 广域网 流 
量 负载 分 布 的 关键 。 广 域 网 的 通信 边界 ， 主 要 由 路 由 的 自治 系统 、 路 由 协议 中 的 域 和 各 
局 域 网 构成 。 

1) 自治 系统 

路 由 的 自治 系统 (Autonomous System，AS) 是 一 个 或 多 个 互联 的 网 络 ， 其 最 重要 
的 特点 就 是 自治 系统 有 权 自 主 地 决定 在 本 系统 内 应 采用 何 种 内 部 路 由 协议 ， 一 个 自治 系 
统 内 的 所 有 网 络 一 般 都 属于 一 个 行政 单位 〈 例 如 ， 一 个 公司 ， 一 所 大 学 ， 政 府 的 一 个 部 
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门 ， 等 等 ) 来 管辖 。 


路 由 器 


| 核心 
a 交换 机 

< 广播 域 1 和 广播 域 2 CS 
- 租 ES 共用 范围 这 
父 


图 2-30 广播 域 逻辑 边界 


路 由 自治 系统 是 天 然 的 广域网 通信 边界 ， 每 个 路 由 自治 系统 都 拥有 自己 的 自治 系统 
号 码 ， 而 系统 的 边界 设备 主要 是 高 端 路 由 设备 。 在 这 些 自治 系统 边界 路 由 器 间 运 行 的 路 
由 协议 被 称 为 外 部 网 关 协 议 (Extemal Gateway Protocol，EGP); 而 在 自治 系统 内 部 运行 
的 路 由 协议 被 称 为 内 部 网 关 协 议 〈Interior Gateway Protocol，IGP)。 一 旦 确定 路 由 自治 
系统 的 边界 ， 在 进行 路 由 自治 系统 的 通信 规范 分 析 时 ， 主 要 是 分 析 从 自治 系统 内 部 发 往 
其 他 自治 系统 的 流量 ， 以 及 从 其 他 自治 系统 流向 本 自治 系统 的 流量 。 

2) 路 由 算法 区 域 

内 部 网 关 协 议 中 应 用 较 广 的 路 由 协议 是 开发 最 短路 径 优先 协议 〈Open Shortest Path 
First，OSPF)， 该 协议 适用 于 网 络 规模 较 大 的 路 由 自治 系统 ， 需 要 将 自治 系统 内 的 网 络 
划分 为 多 个 域 ; 域 的 划分 方式 是 将 所 有 运行 OSPF 的 路 由 器 人 为 地 分 成 不 同 的 组 ， 以 区 
域 id 来 标示 ; 在 OSPF 中 ， 路 由 域 存在 骨干 域 ( 即 0 号 域 》 和 非 骨干 域 ， 其 中 连接 不 同 
域 的 路 由 器 即 路 由 域 的 边界 ， 被 称 为 区 域 边界 路 由 器 (Area Border Router，ABR )。 

3) 局 域 网 

自治 系统 内 部 的 粒度 最 小 的 系统 就 是 一 个 局 域 网 络 ; 在 现代 网 络 中 ， 这 种 局 域 网 络 
不 会 是 一 个 广播 域 ， 而 是 一 个 通过 内 部 路 由 设备 互 连 起 来 的 多 个 广播 域 ， 这 种 网 络 属于 
自治 系统 ， 但 是 与 其 他 局 域 网 络 存在 明显 的 边界 路 由 器 ， 该 局 域 网 的 网 络 地 址 ， 在 经 过 
边界 路 由 器 对 外 时 ， 会 宣布 为 一 个 网 段 ， 而 在 内 部 则 由 内 部 设备 宣布 为 多 个 子 网 段 ， 因 
此 , 局 域 网 络 的 边界 路 由 器 在 不 由 路 由 协议 划分 区 域 的 情况 下 , 就 是 局 域 网 的 通信 边界 。 

通过 以 上 的 分 析 ， 可 以 看 出 广域网 络 中 的 各 种 通信 边界 全 部 是 由 各 种 路 由 器 来 实现 
的 ， 图 2-31 是 一 个 各 种 路 由 器 承担 通信 边界 的 示意 图 ， 而 图 中 的 自治 系统 边界 路 由 器 、 
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区 域 边界 路 由 器 、 局 域 网 路 由 器 都 是 广域网 的 通信 边界 ， 在 进行 通信 规范 分 析 时 ， 应 针 
对 这 些 边界 设备 进行 仔细 的 流量 分 析 。 


党 府 


图 2-31 广域网 中 的 各 种 边界 路 由 器 


3. 虚拟 专用 网 络 通信 边界 

VPN (Virtual Private Network， 虚 拟 专 用 网 ) 的 含义 有 两 个 ， 一 是 VPN 是 建立 在 现 
有 物理 网 络 之 上 , 与 物理 网 络 具 体 的 网 络 结构 无 关 , 用 户 一 般 无 须 关心 物理 网 络 和 设备 ; 
二 是 VPN 用 户 使 用 VPN 时 看 到 的 是 一 个 可 预先 设 定 的 动态 的 网 络 。Private Network 的 
含义 也 有 两 个 ， 一 是 表明 VPN 建立 在 所 有 用 户 能 到 达 的 公共 网 络 上 ， 特 别 是 Internet， 
也 包括 PSTN、 帧 中 继 、ATM 等 ， 当 在 一 个 由 专线 组 成 的 专 网 内 构建 VPN 时 , 相对 VPN 
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这 也 是 一 个 “ 公 网 ” 二 是 VPN 将 建立 专用 网 络 或 者 称 为 私有 了 网络， 确保 提供 安全 的 网 
络 连接 ， 它 必须 具备 几 个 关键 功能 : 认证、 访问 控制 、 加 密 和 数据 完整 。 

实现 VPN 的 协议 分 为 三 种 ,第 一 种 是 工作 于 第 二 层 数据 链 路 层 的 L2TP 等 隧道 协议 ， 
第 二 种 是 工作 于 第 三 层 网 络 层 的 IPSec、GRE 等 隧道 协议 ， 第 三 种 是 依据 标签 封装 机 制 
而 形成 的 MPLS VPN 技术 。 无 论 是 哪 种 技术 ， 都 必须 采用 图 2-32 的 网 络 架构 。 


P-Network 


C-Network 
图 2-32 VPN 网 络 结构 


在 图 2-32 所 示 的 各 种 路 由 器 中 ，CE (Custom Edge) 是 直接 与 服务 提供 商 相连 的 用 
户 设 备 ，PE 〈Provider Edge Router) 指骨 干 网 上 的 边缘 路 由 器 ， 与 CE 相连 ， 主 要 负责 
VPN 业务 的 接 入 ，P 《Provider Router) 指骨 干 网 上 的 核心 路 由 器 ， 主 要 完成 路 由 和 快 
速 转发 功能 ， 由 于 网 络 规模 不 同 ,网 络 中 可 能 不 存在 P 路 由 器 ,PE 路 由 器 也 可 能 同时 是 
P 路 由 器 。 

无 论 在 设计 广域网 络 的 VPN 时 采用 哪 种 技术 ， 无 论 形成 VPN 的 结构 是 点 对 点 
(point-to-point) 还 是 中 心 辐射 状 (hub-spoke)， 都 会 存在 CE 和 PE 路 由 器 ， 而 PE 路 由 
器 就 是 VPN 的 通信 边界 ， 在 进行 VPN 通信 规范 分 析 时 ， 主 要 是 统计 各 CE 之 间 的 流量 
形成 对 PE 设备 的 传输 容量 要 求 。 需 要 注意 的 是 ， 这 些 通信 流量 在 计算 时 需要 考虑 到 加 
密 算法 、 标 签 封装 所 产生 的 额外 传输 容量 要 求 。 


2.4.4 ”通信 流量 分 布 的 简单 规则 


在 通信 规范 分 析 中 ， 最 终 的 目标 是 产生 通信 量 ， 其 中 必要 的 工作 是 分 析 网 络 中 信息 
流量 的 分 布 问题 。 在 整个 过 程 中 ,需要 依据 需求 分 析 的 结果 来 产生 单个 信息 流量 的 大 小 ， 
依据 通信 模式 、 通 信 边 界 的 分 析 ， 明 确 不 同 信息 流 在 网 络 不 同 区 域 、 边 界 的 分 布 ， 从 而 
获得 区 域 、 边 界 上 的 总 信息 流量 。 

对 于 部 分 较为 简单 的 网 络 ， 可 以 不 需要 进行 复杂 的 通信 流量 分 布 分 析 ， 仅 采用 一 些 
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简单 的 方法 ， 例 如 80/20 规则 、20/80 规则 等 ; 但 是 对 于 复杂 的 网 络 ， 仍 必须 进行 复杂 的 
通信 流量 分 布 分 析 ， 见 第 2.4.5 节 通 信 量 分 析 的 步 又。 

1. 80/20 规则 

80/20 规则 是 传统 网 络 中 广泛 应 用 的 一 般 规则 。80/20 规则 是 基于 这 样 的 可 能 性 : 在 
一 个 网 段 中 , 通信 流量 的 80% 是 在 该 网 段 中 流动 ,只 有 20% 的 通信 流量 是 访问 其 他 网 段 ， 
如 图 2-33 所 示 。 

利用 80/20 规则 进行 通信 流量 分 布 的 思 
路 : 对 一 个 网 段 内 部 的 通信 流量 ， 不 进行 严 
格 的 分 布 分 析 ， 仅 仅 是 根据 对 用 户 和 应 用 需 
求 的 统计 ， 产 生 网 段 内 的 通信 和 总 量 大 小 ， 认 
为 总 量 的 80% 是 在 网 段 内 部 的 流量 ， 而 20% 
是 对 网 段 外 部 的 流量 。 

80/20 规则 不 仅仅 是 一 种 设计 思路 , 也 是 
一 种 特殊 的 优化 方法 ， 通 过 这 种 方式 可 以 限 
制 用 户 的 不 合理 需求 ， 是 最 优化 地 使 用 网 络 
骨干 和 使 用 昂贵 的 广域网 链 路 的 一 种 行 之 有 
效 的 方法 。 例如， 对 于 核心 交换 机 容量 为 
100Mbps 的 局 域 网 络 来 说 ， 其 局 域 网 至 外 部 
网 络 的 带宽 应 限制 在 20Mbps 以 内 。 

80/20 规则 适用 于 内 部 交流 较 多 、 外 部 访问 相对 较 少 、 网 络 较 为 简单 、 不 存在 特殊 
应 用 的 网 络 或 网 段 。 

2. 20/80 规则 

随 着 互联 网 络 的 发 展 ， 一 些 特殊 的 网 络 不 断 产 生 ， 例 如 小 区 内 计算 机 用 户 形成 的 局 
域 网 络 、 大 型 公司 用 于 实现 远程 协同 工作 的 工作 组 网 络 等 ， 这 些 网 络 的 特征 就 是 : 网 段 
的 内 部 用 户 之 间 相 互 访问 较 少 ， 大 多 数 对 网 络 的 访问 ， 都 是 对 网 段 外 的 资源 进行 访问 ; 
对 于 这 些 流量 分 布 恰好 位 于 另 一 个 极端 的 网 络 或 网 段 ， 可 以 采用 20/80 规则 。 

利用 20/80 规则 进行 通信 流量 分 布 的 思路 是 : 根据 对 用 户 和 应 用 需求 的 统计 ， 产 生 
网 段 内 的 通信 和 总 量 大 小 ， 认 为 总 量 的 20% 是 在 网 段 内 部 的 流量 ， 而 80% 是 对 网 段 外 部 的 
流量 。 

需要 注意 的 是 ， 虽 然 80/20 规则 和 20/80 规则 是 一 些 简单 的 规则 ， 但 是 这 些 规 则 是 
建立 在 大 量 的 工程 经 验 基础 上 的 ， 另 外 通过 这 些 规 则 的 应 用 ， 可 以 很 快 完成 一 个 复杂 网 
络 中 大 多 数 网 段 的 通信 流量 分 析 工 作 ， 可 以 合理 减少 大 型 网 络 中 的 设计 工作 量 。 


2.4.5 通信 流量 分 析 的 步 又 
对 于 复杂 的 网 络 ， 需 要 进行 复杂 的 通信 流量 分 析 ， 通 信 流 量 分 析 从 对 本 地 网 段 上 和 


图 2-33 80/20 规则 
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通过 网 络 骨 干 某 个 特定 部 分 的 通信 流量 进行 估算 开始 ， 可 采用 如 下 步 又 : 

Q@ 把 网 络 分 成 易 管理 的 网 段 。 

@ 确定 个 人 用 户 和 网 段 应 用 的 通信 流量 。 

@ 确定 本 地 和 远程 网 段 上 的 通信 流量 。 

图 对 每 个 网 段 重 复 步骤 @ 一 @@。 

@@ 分 析 基 于 各 网 段 信息 的 广域网 和 网 络 骨 干 的 通信 流量 。 

下 面 详细 介绍 各 步骤 的 内 容 。 

1. 把 网 络 分 成 易 管理 的 网 段 

在 通信 流量 分 析 的 过 程 中 ， 首 要 任务 是 依据 需求 阶段 的 网 络 需求 、 分 段 需 求 、 工 程 
经 验 将 网 络 工程 划分 成 若干 个 物理 或 者 逻辑 网 段 ， 并 进行 编号 ， 同 时 选择 适当 的 广域网 
拓扑 结构 ， 最 终 形 成 相应 的 各 类 网 络 边界 ， 然 后 ， 从 估算 每 个 网 段 的 通信 模式 、 通 信 容 
量 开始 ， 分 析 在 这 些 部 分 之 间 通 信 信 息 的 流动 方式 ， 最 后 才 产 生 通 信 流 量 。 

网 段 划 分 需要 根据 用 户 的 需求 ， 对 于 升级 的 网 络 ， 可 以 对 现 有 网 段 划分 方式 进行 改 
进 ， 形 成 新 的 划分 方案 ， 对 于 新 建 网 络 ， 则 是 和 网 络 管理 员 一 起 商量 网 段 划 分 方式 ， 一 
般 情 况 下 ， 是 按照 工作 组 或 部 门 来 划分 网 段 ， 因 为 相同 工作 组 或 部 门 中 的 人 们 通常 使 用 
相同 的 应 用 程序 ， 并 且 具 有 相同 的 基本 需求 。 

由 于 网 段 主要 属于 局 域 网 络 范畴 ， 在 进行 分 析 工 作 前 ， 需 要 确定 网 段 的 局 域 网 通信 
边界 ， 如 果 网 段 的 通信 边界 是 物理 边界 ， 则 这 个 网 段 是 需要 独立 进行 分 析 的 ;而 如 果 多 
个 网 段 的 通信 边界 是 逻辑 边界 ， 则 这 些 网 段 不 需要 独立 进行 分 析 ， 而 作为 一 个 整体 网 段 
来 进行 分 析 。 

无 论 是 物理 网 段 分 析 ， 还 是 多 个 虚拟 网 段 构 成 的 整体 网 段 分 析 ， 都 可 以 采用 局 部 分 
析 法 ; 局 部 分 析 法 的 实质 在 于 只 关注 一 个 网 段 ， 并 将 该 网 段 边界 外 的 其 他 部 分 内 容 等 同 
于 一 个 外 部 网 络 来 进行 分 析 工 作 。 

图 2-34 是 一 个 较为 复杂 的 网 络 , 其 中 路 由 器 A 是 一 个 局 域 网 的 物理 边界 ; 路 由 器 C 
连接 的 局 域 网 络 较为 复杂 ， 存 在 着 多 个 VLAN， 这 些 VLAN 的 通信 边界 是 逻辑 的 ,而 路 
由 器 C 则 是 这 些 VLAN 和 其 他 区 域 的 共同 物理 边界 。 

在 运用 局 部 分 析 法 时 ， 需 要 对 整个 网 络 进行 抽象 化 ， 形 成 图 2-35， 其 中 左 图 和 右 图 
分 别 是 路 由 器 A 所 连接 的 物理 网 段 和 路 由 器 C 所 连接 的 多 个 逻辑 网 段 的 局 域 分 析 法 抽 
象 图 。 

2. 确定 个 人 用 户 和 网 段 应 用 的 通信 流量 

在 通信 流量 分 析 中 , 第 二 步 是 复查 需求 说 明 书 中 的 业务 需求 、 用 户 需 求 、 应 用 需求 、 
网 络 需 求 部 分 的 内 容 ， 并 根据 通信 流量 的 分 析 进 行 再 次 确定 。 在 需求 收集 阶段 ， 已 经 通 
过 了 用 户 对 各 种 应 用 程序 的 估算 使 用 量 ， 其 中 反映 流量 的 主要 是 应 用 需求 和 网 络 需 求 ; 
但 是 这 些 估算 使 用 量 不 仅仅 包含 网 络 流量 , 另外 也 没有 根据 通信 模式 进行 流量 分 布 分 析 
本 步骤 的 工作 在 于 将 需求 分 析 中 不 同 格式 的 统计 表格 ， 再 次 确认 后 ， 根 据 通信 模式 ， 转 
化 为 统一 的 流量 表格 ， 以 便于 开始 后 续 的 分 析 工作 。 
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3. 确定 本 地 和 远程 网 段 上 的 通信 流量 分 布 

在 第 一 步 确定 网 段 、 第 二 步 确定 单个 应 用 的 模式 流量 后 ， 确 定 本 地 和 远程 网 段 上 的 
通信 流量 分 布 是 分 析 工作 的 第 三 步 。 该 步骤 的 重要 任务 是 明确 多 少 通信 流量 存在 于 网 络 
内 部 ， 而 多 少 通信 流量 是 访问 其 他 网 段 。 下 文 以 一 个 拥有 物理 边界 的 网 段 为 例 ， 借 助 于 
前 两 步 的 分 析 结 果 ， 进 行 通信 流量 分 布 分 析 。 

假设 一 个 专用 网 络 中 拥有 4 个 物理 网 段 ， 编 号 为 1 一 4 号 ， 这 4 个 网 段 直接 通过 路 
由 器 进行 连接 ， 如 图 2-36 所 示 。 其 中 ， 网 段 1 为 整个 网 络 的 核心 网 段 ， 所 有 的 服务 器 都 
托管 在 网 段 1， 而 网 段 2 一 网 段 4 为 普通 的 工作 网 段 。 


网 段 2 


网 段 3 


图 2-36 网络 示 意图 


对 网 段 2 进行 分 析 ， 网 段 2 中 的 用 户主 要 是 使 用 以 下 几 种 应 用 。 

。 工作 邮件 用户 需要 通过 邮件 客户 端 访问 置 于 网 段 1 的 邮件 服务 器 。 

。 办 公 自 动 化 系统 : 办 公 系 统 应 用 服务 器 位 于 网 段 1，BPS 模式 提供 服务 。 

。 生产 管理 系统 : 服务 器 位 于 网 段 1，BPS 模式 提供 服务 ， 主 要 用 于 满足 生产 工作 
管理 需要 。 

文件 共享 服务 : 服务 器 位 于 网 段 1， 主 要 采用 Windows 网 络 文件 系统 提供 C/S 
服务 。 

视频 监控 : 用 户 可 以 互相 调 阅 不 同 网 段 的 视频 监控 流 ， 不 需要 经 过 流 媒 体 服 务 器 
的 管理 ， 属 于 典型 的 P2P 应 用 。 

。 内 部 交流 : 指 用 户 借助 于 部 分 局 域 网 通信 软件 ， 进 行内 部 交流 。 

在 需求 分 析 中 ， 可 以 形成 表 2-11 所 示 的 表格 。 
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应 用 名 称 | 平均 事务 量 大 小 

工作 邮件 1MB 

办 公 自动 化 系统 | 0.02MB 

生产 管理 系统 0.05MB 

文件 共享 服务 100MB 

视频 监控 400MB 

内 部 交流 0.01MB 


计算 出 应 用 需要 传递 信息 的 速率 ， 可 以 根据 公式 : 应 用 总 信息 传输 速率 = 平均 事务 
量 大 小 X 每 字 节 位 数 X 每 个 会 话 事务 数 X 平 均 用 户 数 /平均 会 话 长 度 。 

根据 该 公式 ， 计 算出 结果 如 下 。 
工作 邮件 : 1X8X2X200/60 一 53Mbps 

办 公 自 动 化 系统 : 0.02X8X4X400/60~4.3Mbps 

生产 管理 系统 : 0.05X8X8X200/60 守 10.7Mbps 

文件 共享 服务 ，100X8X1X100/600133.3Mbps 

视频 监控 : 400X8X1X20/3600 守 17.8Mbps 

内 部 交流 : 0.01X8X4X800/60~43Mbps 

( 注 : 不同 的 计算 方法 ， 需 要 调查 和 测试 的 网 络 指标 不 同 ， 本 文中 仅 为 一 个 简单 示例 。) 

同时 ， 由 于 三 个 工作 网 段 基本 上 是 类 似 网 段 ， 用 户 在 三 个 网 段 的 分 布 基本 一 致 ， 所 
以 网 段 2 所 承担 的 各 应 用 的 比例 都 是 13， 各 应 用 的 信息 传递 速率 是 总 速率 的 1/3 。 

由 于 各 应 用 的 通信 模式 不 同 ， 各 应 用 在 网 段 2 中 的 通信 流量 分 布 也 不 同 ， 分 析 通 信 
模式 后 形成 表 2-12 所 示 的 表格 。 


表 2-12 应 用 流量 分 布 表 


通 信 流 估算 流量 


@ 客 户 机 至 服务 

器 

回 服务 器 至 客户 

机 

@@ 客 户 机 至 服务 
浏览 器 -服务 | 器 

图 服务 器 至 客户 

机 


2 1 53X50%=26.5 


1 2 53X50%=26.5 


2 1 4.3X20% 二 0.86 


4.3X80%== 


3.44 
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续 表 


Pe 源 > 轩 
应 用 | 通信 模式 网 段 分 布 网 段 | 网 自 估算 流量 
生产 管理 | 浏览 器 -服务 | @ 客 户 机 至 服务 | 发 出 网 段 2 1 10.7X20%=2.14 
系统 


器 
四 服务 器 至 客户 gli 2 10.7X80% 一 8.56 
机 


文件 共享 | 客户 机 -服务 | @ 客 户 机 至 服务 | 发 出 网 段 2 1 133.4X50% 一 66.7 
服务 

加 服务 器 至 客户 2 133.4X50%6 一 66.7 
视频 监控 。 | 对 等 通信 ”| OP2P 流 | 进 由 网 段 | | 17.8X66%=11.8 

| DP2P 流 | 网 段 内 部 | | 17.8X33%=5.9 
内 部 交流 2 | 43x100%=43 

注 : 由 于 工作 邮件 、 文 件 共享 服务 的 网 络 通信 模式 为 客户 机 -服务 器 模式 ， 属 于 双向 流量 大 ， 因 此 

在 网 段 流量 分 布 上 应 用 的 总 流量 在 两 个 方向 上 各 占 50%; 办 公 自 动 化 系统 、 生 产 管 理 系统 属于 浏览 器 - 
服务 器 模式 ， 在 估算 时 客户 机 至 服务 器 按 209%6 进 行 估算 ， 反 向 按 80% 进 行 估算 ， 在 实际 项 目 中 可 根据 
测试 情况 进行 调整 ， 内 部 交流 主要 在 网 段 内 部 ， 不 产生 外 部 流量 ， 视 频 监控 主要 是 根据 用 户 在 网 段 比 
例 ， 网 段 内 部 用 户 数量 为 总 用 户 的 1/3， 而 其 他 网 段 则 占 2/3。 在 本 示例 中 没有 考虑 TCP 协议 、 卫 协议 
封装 所 引起 的 流量 ， 如 需要 考虑 这 些 协 议 封装 而 增加 的 流量 ， 则 需要 统计 各 应 用 的 平均 协议 包 长 度 ， 
并 根据 协议 包头 长 度 和 有 效 负载 长 度 算出 实际 的 网 络 层 流 量 ， 例 如 假设 经 过 统计 或 者 经 验 ， 工 作 邮 件 
的 平均 卫 包 长 度 为 1200B， 则 瑟 包头 为 20B、TCP 包头 为 20B， 其 余 的 为 有 效 负载 部 分 ， 则 工作 邮件 
客户 端 至 服务 器 端 应 用 流量 实际 产生 的 网 络 层 流量 为 26.5 X1200/1160 守 27.4Mbps。 


基于 以 上 分 析 ， 可 以 形成 表 2-13 的 总 流量 分 布 。 


表 2-13 网 段 2 总 流量 分 布 表 


应 用 总 流量 网 络 总 流量 


流量 分 布 | 源 网 段 | 目标 网 段 


网 段 内 部 5.9+4.3=10.2 | 102X64/56~11.7 
访问 服务 器 26.5+0.86+2.14+66.7=96.2 | 962x64/56~110 
服务 器 反馈 26.5+3.44+8.56+66.7=105.2 105.2X64/56~120 


外 部 P2P 11.8X64/56~13.5 


11.8 


注 : 由 于 以 太 网 的 最 小 帧 长 为 64B， 其 中 有 效 负载 为 56B， 因 此 可 以 根据 这 种 极端 情况 计算 出 所 
需要 的 最 大 网 络 流量 。 

由 表 2-13 可 知 ， 网 段 2 内 部 的 网 络 设备 必须 提供 13.5Mbps 的 网 络 吞吐 率 ， 而 网 段 
2 和 网 段 1 之 间 的 往来 流量 分 别 为 110Mbps 和 120Mbps， 由 网 段 2 访问 其 他 网 段 的 双向 
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流量 为 13.5Mbps; 则 内 部 交换 机 的 吞吐 率 必 须 大 于 13.5Mbps， 网 段 2 的 边界 路 由 器 必 
须 提 供 大 于 110+120+13.5 二 243.5Mbps; 而 对 于 网 段 2 的 边界 路 由 器 ， 该 路 由 器 至 内 部 
交换 设备 的 连接 应 提供 正 向 110+13.5/2= 116.75Mbps, 方向 120+13.5/2=126.75SMbps 的 传 
输 速率 ， 则 在 设计 时 可 以 采用 千 兆 以 太 线路 并 将 线路 的 双向 传输 速率 都 限制 在 200Mbps 
以 内 。 同 时 ， 表 2-13 可 以 作为 广域网 和 网 络 骨 干 的 计算 依据 。 

需要 注意 的 是 ， 以 上 仅仅 是 根据 用 户 需 求 、 应 用 需求 计算 网 络 流量 的 一 种 示例 ， 不 
同 的 设计 人 员 采 用 的 需求 分 析 方式 和 表格 不 同 ， 其 计算 的 方法 也 不 同 ， 但 是 都 可 以 获取 
网 络 层 流量 。 例 如 有 些 设计 人 员 喜 欢 用 在 线 用 户 数量 、 每 个 在 线 用 户 的 平均 流量 来 进行 
计算 ， 有 些 设计 人 员 喜 欢 用 应 用 的 用 户 每 秒 事 务 量 和 事务 量 大 小 来 计算 流量 ;还 有 些 设 
计 人 员 会 考虑 峰值 情况 , 并 以 峰值 速率 作为 设计 依据 , 以 避免 网 络 在 峰值 时 段 出 现 拥塞 。 

4. 对 每 个 网 段 重 复 上 述 步骤 

对 每 个 网 段 重复 上 述 步骤 ， 其 中 个 人 应 用 收集 的 信息 是 每 一 个 应 用 和 网 段 都 要 用 到 
的 ; 然后 , 确定 每 一 个 本 地 网 段 的 通信 和 量 以 及 该 网 段 对 整个 广域网 和 网 络 骨 干 的 通信 和 量 。 

5. 分 析 基 于 各 网 段 信息 的 广域网 和 网 络 骨干 的 通信 流量 

通过 对 每 个 网 段 的 分 析 ， 除 了 形成 各 网 段 自身 的 通信 要 求 外 ， 还 可 以 形成 与 本 网 段 
有 关 的 广域网 、 骨 干 网 的 通信 要 求 。 不 同 网 络 工 程 中 ， 用 户 对 广域网 拓扑 结构 的 要 求 和 
建议 不 同 ， 即 使 拓扑 相同 ， 信 息 的 路 由 不 同 ， 对 网 络 设备 的 要 求 也 是 不 同 的 ， 因 此 对 广 
域 网 和 网 络 骨 干 的 通信 流量 分 析 必 须 参 考 用 户 意 见 ， 并 且 应 当做 到 灵活 机 动 。 

图 2-36 的 网 络 较为 简单 ， 路 由 也 不 存在 太 多 的 灵活 性 ,因此 对 广域网 的 分 析 也 比较 
简单 。 由 于 网 段 2 一 网 段 4 的 情况 基本 一 致 ， 用 户 数量 也 相同 ， 所 以 网 段 3 和 网 段 4 所 
产生 的 总 流量 分 布 也 是 一 致 的 。 对 广域网 的 分 析 如 下 : 

(1) 骨干 路 由 器 至 接 入 路 由 器 连接 的 带宽 要 求 为 下 行 大 于 126.75Mbps， 上 行 大 于 
116.75Mbps。 

(2) 骨干 路 由 器 的 吞吐 量 应 大 于 三 个 接 入 路 由 器 吞吐 量 的 总 和 ， 也 就 是 243.5X3 一 
730.5Mbps。 

(3) 骨干 路 由 器 至 网 段 1 的 连接 主要 承担 各 网 段 至 网 段 1 的 流量 ， 则 该 连接 至 网 段 
1 的 带宽 应 大 于 110X3 三 330Mbps， 反 向 的 带宽 应 大 于 120X3 二 360Mbps， 则 该 连接 也 
必须 采用 千 兆 以 太 网 线路 ， 并 可 将 线路 的 双向 传输 速率 都 限制 在 400Mbps 以 内 。( 注 : 
外 部 P2P 流量 不 需要 经 过 该 连接 。) 

在 图 2-36 中 ,网 络 的 骨干 是 由 网 段 1 构成 ， 主 要 存放 网 络 中 的 所 有 服务 器 ， 而 所 有 
的 服务 器 都 要 满足 应 用 的 数据 吞吐 量 需要 ， 根 据 第 三 步 中 计算 的 各 应 用 吞吐 量 需 求 ， 除 
了 文件 共享 服务 器 为 133.4Mbps 之 外 ,其 他 的 都 是 100Mbps 以 内 ， 因 此 普通 的 千 兆 交换 
机 ， 可 以 满足 应 用 的 通信 需求 。 

本 示例 中 网 络 骨 干 的 流量 较为 简单 ， 服 务 器 之 间 的 交换 流量 较 少 ， 但 对 于 较为 复杂 
的 骨干 网 络 ， 需 要 进行 仔细 的 流量 分 析 。 
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6. 输出 通信 流量 计算 

通信 流量 计算 完成 后 ， 要 把 它们 整理 总 结 成 一 份 文件 ， 该 文件 将 成 为 最 终 的 通信 规 
范 说 明 书 中 的 一 部 分 。 同 时 ， 用 这 些 新 的 信息 来 提高 当前 逻辑 网 络 图 的 质量 ， 标 明 广 播 
域 、 冲 突 域 和 子 网 的 边界 。 如 果 通 过 通信 流量 计算 ， 表 现 出 了 定向 通信 模式 ， 也 应 在 图 
上 标 出 。 


2.4.6 ”网 络 基 准 


除了 通过 收集 用 户 信息 并 计算 通信 流量 的 方法 外 ， 还 存在 更 为 精确 的 基于 通信 流量 
的 计算 法 ， 即 基准 法 。 

基准 法 是 通过 测量 一 个 网 络 的 容量 和 效率 来 衡量 网 络 性 能 要 求 的 方法 。 通 过 网 络 的 
测试 数据 ， 可 以 发 现 网 络 中 存在 的 问题 ， 也 可 以 把 握 网 络 发 展 趋势 对 网 络 性 能 带 来 的 影 
响 。 对 于 升级 的 网 络 工程 ， 基 准 法 可 蔡 代 通 信 流 量 计算 法 作为 设计 依据 ， 也 可 以 配合 使 
用 ;对 于 新 建 网 络 工程 ， 可 以 使 用 基准 法 中 的 仿真 机 制 ， 作 为 设计 工作 的 验证 机 制 。 

采用 基准 法 测量 需要 专门 的 监视 器 设备 和 应 用 软件 ， 但 由 于 所 需 的 硬件 和 软件 较为 
昂贵 ， 所 以 通常 只 依靠 估算 法 来 确定 和 记录 网 络 的 性 能 。 但 是 ， 只 要 条 件 允 许 ， 最 好 能 
同时 使 用 估算 法 和 基准 法 。 

1. 测试 工具 

传统 的 测试 工具 是 局 域 网 分 析 器 。 例 如 ， 网 盟 公 司 的 探测 器 (Sniffer)、HP 公司 的 
局 域 网 顾问 (LAN Advisor)， 另 外 互联 网 上 存在 大 量 的 类 似 Sniffer 软件 ， 它 们 能 够 记录 
一 个 网 段 在 给 定时 间 内 的 通信 信息 。 

另外 还 可 以 使 用 局 域 网 仿真 软件 包 ， 实 现 通过 PC 来 监控 网 络 的 功能 。 软 件 包 提供 
的 工具 如 下 : 

。 网 络 镜像 。 

。 物理 网 络 层 管理 。 

。 网 络 设计 。 

。 网 络 规划 和 仿真 。 

1) 设计 与 建 模 工具 包 

设计 工具 包 的 功能 是 模拟 局 域 网 在 一 定 负载 下 的 行为 。 只 要 提供 用 户 数量 、 应 用 程 
序 、 通 信和 链 路 等 信息 ， 工 具 包 就 能 给 出 局 域 网 性 能 的 描述 。 一 些 工具 包 还 可 以 评估 特定 
应 用 程序 产生 通信 重 并 绘制 图 表 。 同 时 ,它们 还 包含 各 种 网 络 设备 (如 网 桥 和 路 由 器 等 
的 信息 库 ， 设 计 人 员 可 以 在 模型 中 直接 插入 设备 ， 并 对 设备 吞吐 量 和 响应 时 间 提 供 合理 
的 估算 。 

2) 仿真 与 测试 工具 包 

局 域 网 通信 仿真 包 具 有 产生 真实 的 局 域 网 测试 通信 信息 的 功能 。 通 过 改变 通信 信息 
的 大 小 和 频率 ， 就 可 以 测 出 局 域 网 的 效率 。 仿 真 与 测试 工具 包 可 以 根据 内 置 的 客户 机 活 
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动 函数 ， 测 试 或 评估 局 域 网 的 性 能 。 该 工具 包 还 可 以 用 于 监控 各 个 局 域 网 设备 的 行为 ， 
从 而 确定 各 个 组 成 部 分 的 延迟 。 

2. 网 络 基 准 化 

网 络 基准 是 对 网 络 活动 和 行为 的 测试 ， 通 过 对 网 络 行为 进行 提前 的 预测 ， 实 现 周期 
性 测量 ， 并 形成 一 系列 的 参数 指标 。 例 如 监测 到 高 带宽 应 用 时 ,应 该 在 每 个 独立 的 网 段 、 
广域网 链 路 以 及 网 络 骨 干 链 路 上 运行 独立 的 测试 ， 获 取 基 准 测 试 指标 值 ， 这 样 就 构成 了 
整个 网 络 的 基准 集 。 

按 固定 的 时 间 间 隔 进行 基准 化 可 能 产生 相同 的 结果 ， 因 此 应 该 随机 进行 网 络 基准 
化 ， 以 便 获 取 全 面 情 况 ， 并 及 时 发 现 问题 。 

Sniffer 是 当前 比较 流行 的 网 络 分 析 工 具 ， 该 类 产品 较 多 ， 产 品 的 形式 既 可 以 是 软件 
也 可 以 是 硬件 ， 并 且 互 联网 上 存在 大 量 的 开源 自由 软件 ， 因 此 应 用 较 广 。 

Sniffer 在 局 域 网 及 广域网 管理 和 基准 化 领域 使 用 较 多 ， 下 文 将 以 Network General 
Sniffer 为 例 介 绍 网 络 进行 基准 化 的 几 个 必要 步骤 ,大 多 数 Sniffer 产品 的 功能 都 与 其 类 似 。 

1) Sniffer 的 功能 

Network General Sniffer 是 基准 网 络 的 一 种 常用 的 测量 局 域 网 活动 的 工具 。 它 存在 多 
种 产品 形式 ， 可 以 是 一 个 独立 的 硬件 单元 ， 也 可 以 是 纯 软 件 。 一 台 运 行 Sniffer 软件 设备 
的 网 卡 必 须 与 被 分 析 的 网 络 兼容 。 

(1) 监视 模式 下 的 网 络 基准 。 

在 一 个 网 段 上 进行 约 10 分 钟 的 基准 就 能 提供 一 次 全 面 的 安全 检查 ， 并 且 能 提醒 用 
户 注意 可 能 忽视 的 潜在 问题 ， 经 常 进行 基准 化 能 有 效 地 防御 问题 的 发 生 ， 并 可 在 出 现 故 
障 时 及 时 协助 修复 。 对 于 局 域 网 络 来 说 ， 基 准 能 洞察 到 带宽 的 使 用 率 、 冲 突 率 、 循 环 元 
余 校对 〈CRC) 错误 的 百分比 、 平 均 帧 大 小 、 协 议 分 配 、 上 层 会 话 站 点 〈 和 与 之 对 话 的 
站 点 ) 以 及 在 一 个 网 段 之 内 的 总 站 点 数 等 情况 。 

(2) 分 析 器 模式 下 的 故障 诊断 。 

在 出 现 故障 时 ，Sniffer 是 一 个 有 效 的 分 析 工 具 ， 可 以 直接 发 现 网 络 各 层次 上 出 现 的 
异常 , 并 直接 提示 用 户 , 便于 找到 故障 的 根源 。 大 多 数 Sniffer 具有 解释 协议 堆栈 的 能 力 ， 
加 上 强大 的 过 滤 功 能 ， 使 得 它 成 了 在 网 络 基准 化 时 的 重要 工具 。 

2) 连接 介质 和 基本 操作 

Sniffer 必须 接 入 网 络 ， 并 能 够 收集 到 网 络 中 的 数据 才能 完成 基准 化 工作 ， 因 此 必须 
和 相关 的 网 络 子 网 实现 物理 连接 ， 也 就 是 Sniffer 上 必须 安装 与 被 基准 化 网 络 兼容 的 
网 卡 。 

网 卡 工作 在 正常 状态 下 时 ， 只 接受 三 种 类 型 的 数据 帧 : 第 一 种 ， 目 标 地 址 和 网 卡 地 
址 相同 ; 第 三 种 目标 地 址 为 广播 地 址 ; 第 三 种 目标 地 址 为 组 播 地 址 。 但 是 Sniffer 为 了 能 
够 收集 网 络 中 的 所 有 数据 帧 ， 网 卡 必须 能 够 接收 到 发 送 到 网 卡 的 所 有 数据 帧 ， 这 种 模式 
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被 称 为 混杂 模式 。 在 共享 网 络 中 , 网 络 上 的 数据 帧 所 有 网 卡 都 可 以 接收 到 , 因此 将 Sniffer 
的 网 卡 设置 为 混杂 模式 ， 就 可 以 完成 网 络 中 的 数据 帧 收集 工作 。 

在 交换 式 局 域 网 络 中 ， 交 换 机 会 根据 数据 帧 的 目标 地 址 进行 数据 帧 的 存储 转发 ， 因 
此 Sniffer 设备 的 网 卡 即使 工作 在 混杂 模式 ， 也 只 能 接收 到 被 转发 到 网 卡 的 数据 帧 ; 为 了 
让 Sniffer 设备 可 以 在 交换 网 络 中 完成 基准 化 工作 ,交换 机 提供 了 通信 流量 镜像 功能 ， 可 
以 将 各 端口 流量 复制 到 指定 的 端口 ， 从 而 实现 各 种 数据 帧 的 收集 工作 。 

在 实施 网 络 基准 化 工作 时 ， 必 须 完 成 Sniffer 设备 的 网 络 接 入 和 配置 工作 ,在 交换 机 
上 实现 Sniffer 设备 接 入 时 ， 必 须 选择 合理 的 端口 ， 至 少 要 保证 所 有 被 监听 数据 端口 的 速 
率 之 和 应 小 于 Sniffer 设备 接 入 端口 的 速率 。 

3) 监视 器 模式 下 的 网 络 基 准 

网 络 基准 是 网 络 活动 和 性 能 的 快照 。 基 准 提供 了 对 网 络 性 能 的 预测 能 力 ， 也 是 对 网 
络 的 监视 ， 既 可 以 周期 性 地 进行 ， 也 可 以 在 感 兴趣 的 事件 发 生 时 进行 。 为 了 保证 基准 工 
作 的 效果 ， 应 该 随机 地 对 每 个 子 网 进行 基准 工作 。 

4) 建立 相关 名 称 数据 库 

在 现代 网 络 中 , 网 络 中 的 节点 都 拥有 自己 网 卡 的 MAC 地 址 ,在 进行 基准 化 工作 时 ， 
会 出 现 大 量 的 网 卡 MAC 地 址 。 由 于 48 位 的 网 卡 MAC 地 址 难于 记忆 ， 因 此 可 以 对 关键 
节点 的 MAC 地 址 定制 方便 记忆 的 名 字 ， 而 这 些 名 字 都 存放 在 Sniffer 的 数据 库 中 。 

没 必 要 给 一 个 网 络 里 所 有 的 节点 元 素 起 名 字 ， 因 为 建立 名 称 数 据 库 只 是 为 了 识别 那 
些 最 重要 的 组 件 或 者 节点 , 一 旦 建立 了 重要 节点 的 名 字 , 就 可 以 方便 地 进行 基准 化 工作 ， 
并 快速 确定 存在 问题 的 网 络 节点 。 

5) Sniffer 分 析 器 

Sniffer 分 析 器 能 够 监视 或 捕捉 与 之 相连 接 的 子 网 上 的 通信 。 分 散 的 基准 可 在 每 一 个 
独立 的 子 网 上 运行 ， 进 而 形成 整个 网 络 的 一 整套 基准 。 

3. 基准 的 解释 

Sniffer 设备 将 根据 收集 到 的 数据 帧 ， 形 成 一 系列 记录 网 络 行为 的 基准 参数 指标 ， 这 
些 参数 指标 构成 了 基准 集合 ， 常 用 的 基准 指标 包括 如 下 内 容 。 

1) 全 局 统计 数据 

全 局 统计 数据 将 网 络 作 为 一 个 整体 来 描述 所 有 来 自 被 监控 的 站 点 的 通信 流 ， 包 括 以 
下 一 些 指标 。 

(1) 站 点 数 。 

站 点 数 是 指 在 子 网 上 能 被 Sniffer 看 到 的 子 网 上 的 站 点 总 数 , Sniffer 还 可 以 列 出 每 个 
站 点 的 活动 情况 。 

(2) 平均 利用 率 。 

平均 利用 率 描述 某 个 站 点 已 利用 的 带宽 与 可 利用 带宽 的 百分比 。 

(3) 总 帧 数 和 总 字 节 数 。 


352 网 络 规划 设计 师 教程 


从 监控 开始 时 刻 ，Sniffer 监控 到 的 所 有 数据 帧 的 总 数 和 总 字 节 数 ， 并 且 可 以 根据 特 
定 的 要 求 进行 分 类 。 

(4) 物理 层 错误 。 

Sniffer 可 以 发 现存 在 错误 帧 或 CRC 校 验 错误 之 类 的 物理 层 错误 ， 用 户 可 以 根据 错 
误 信 息 发 现 问题 的 原因 。 

2) 所 有 站 点 信息 

Sniffer 可 以 记录 每 个 站 点 的 总 帧 数 、 错 误 数 、 字 节 数 以 及 每 个 站 点 所 占用 的 网 络 带 
宽 百 分 比 。 

3) 帧 大 小 

帧 大 小 是 指 帧 的 大 小 分 布 ,大 多 数 Sniffer 都 可 以 将 所 有 监测 到 的 帧 按 大 小 分 类 ， 这 
在 识别 协议 和 辨别 网 络 有 效 性 时 很 有 用 。 

4) 协议 类 型 

Sniffer 可 以 分 析 接 收 到 数据 帧 的 协议 类 型 ,并 根据 协议 的 类 型 进行 分 类 和 统计 工作 ， 
这 些 统计 信息 包括 各 种 协议 数据 包 占 全 部 数据 帧 的 百分比 。 

5) 报警 日 志 

报警 与 带宽 利用 率 或 错误 有 关 。 例 如 ， 它 可 以 列 出 与 带宽 使 用 或 误差 相关 的 报警 
信息 。 

在 许多 情况 下 ， 列 出 报警 信息 表示 已 超出 了 一 个 事先 规定 的 阔 值 ， 报 警 并 不 表示 一 
定 产生 了 错误 ， 但 是 对 网 络 问题 的 分 析 有 一 定 的 帮助 。 

6) 全 局 历史 记录 

全 局 历史 记录 是 每 隔 一 定时 间 间 隔 进行 规则 采样 的 结果 ， 它 列 出 了 日 期 / 间 、 帧 数 、 
误 码 率 、 字 节 数 和 利用 率 ， 这 是 多 次 基准 化 所 形成 的 累计 值 。 

4. 基准 网 络 的 操作 

由 于 不 同 Sniffer 产品 的 操作 方式 不 同 ， 本 文 对 Network General Sniffer 不 进行 详细 
的 操作 描述 ， 用 户 可 以 按 产品 提供 的 用 户 手 册 进 行 操作 。 

5. 测算 共享 资源 的 利用 率 

共享 资源 就 是 在 网 络 中 由 多 个 用 户 共同 分 享 的 资源 ， 如 服务 器 和 打印 机 等 。 了 解 设 
备 的 利用 率 对 分 析 问 题 非 常 有 效 。 在 网 络 中 的 服务 出 现 故障 时 ， 管 理 人 员 依 据 共享 资源 
的 利用 率 ， 就 可 以 判断 问题 到 底 是 来 自 于 服务 器 ， 还 是 来 自 于 网 络 ， 并 给 出 正确 的 排 错 
方案 。 

下 列 的 各 项 都 是 可 能 会 影响 网 络 性 能 的 原因 ， 在 测算 共享 资源 利用 率 时 ， 应 关注 这 
些 内 容 。 

。 发 送 端的 应 用 程序 。 

。 发 送 端 的 CPU 时 钟 速度 。 

。 发 送 端的 输入 输出 (VO)〉 总 线 类 型 及 数据 速度 。 
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发 送 端的 操作 系统 〈OS) 类 型 。 
发 送 端的 任务 数 、 执 行 数 〈CPU 利用 率 )。 
发 送 端的 存储 器 数 。 
发 送 端 的 网 卡 延迟 。 
局 域 网 链 路 延迟 。 
广域网 链 路 延迟 。 
协议 堆栈 。 
网 络 互联 设备 的 等 待 时 间 。 
接收 端的 应 用 程序 。 
接收 端的 CPU/ 时 钟 速度 。 
接收 端的 输入 输出 VO》 总 线 类 型 及 数据 速度 。 
接收 端的 操作 系统 (OS) 类 型 。 
接收 端的 任务 数 、 执 行 数 〈CPU 利用 率 )。 
接收 端的 存储 器 数 。 
接收 端的 网 卡 延迟 。 
。 SCS1 接口 类 型 /速度 。 
6. 测量 工具 
除了 Sniffer 这 些 专业 测试 工具 之 外 , 不 同 的 操作 系统 也 提供 了 不 同 的 方法 来 测量 共 
享 资源 的 利用 率 。 在 UNIX 操作 系统 上 经 常用 命令 行 工具 来 测量 CPU 资源 。 在 Windows 
平台 上 ， 存 在 着 多 个 服务 器 资源 监视 工具 ， 这 些 工具 包括 : 
。 性 能 监视 器 。 
。 任务 管理 器 。 
。 网 络 监视 器 。 
1) 性 能 监视 器 
性 能 监视 器 可 以 监控 并 分 析 Windows 操作 系统 的 运行 情况 。 它 除了 记录 服务 行为 
的 实时 图 外 ， 还 能 将 这 些 统计 表 记 入 日 志 并 进行 重播 ， 且 以 报表 的 形式 显示 出 来 ， 或 者 
在 量度 超出 或 落后 于 预先 设置 的 阀 值 时 产生 提示 信息 ， 性 能 监视 器 窗口 如 图 2-37 所 示 。 
2) 任务 管理 器 
任务 管理 器 是 一 个 综合 性 的 工具 ， 其 功能 是 监视 应 用 软件 、 任 务 和 Windows 系统 的 
主要 性 能 量度 。 任 务 管理 器 能 提供 在 工作 站 上 运行 的 每 个 应 用 软件 和 进程 的 详细 信息 以 
及 内 存 和 CPU 的 使 用 情况 。 对 于 终止 不 响应 的 程序 和 进程 , 任务 管理 器 将 其 操作 变 得 非 
党 简单 ， 同 时 提高 了 系统 的 可 靠 性 ， 如 图 2-38 所 示 。 
3) 网 络 监视 器 
分 析 和 维持 网 络 自 身 的 完整 性 是 管理 网 络 的 一 个 基本 要 素 。 网 络 监视 器 提供 了 识别 
网 络 通信 模式 、 测 试 网 络 以 及 查 明 网 络 故障 点 的 功能 。 
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图 2-37 性 能 监视 器 


-到 Windows 任务 管理 器 | :时 Windows 任务 管理 器 [eae 
文件 昌 ” 远 项 (QO) 圭 看 (V) 帮助 (H) 文件 昌 ” 远 项 (OQ) 查看 VW) 帮助 叶 
[应 用 程序 | 进程 ”| 服务 [性 能 “| 联网 “| 用 户 应 用 程序 过程 | 服务 | 性 能 | 联网 | 用 户 _| 
>- CPV 使 用 CPV 使 用 记录 
映像 名 称 用 户 名 CPV 内存 5. 二 
avp. exe #32 sunbady 00 996 
cale exe sunbady 。 00 316 
csrss. exe oo 4,388 | 宇 
dwm, exe sunbady 00 280 内 存 物理 内 存 使 用 记录 
explorer. exe sunbady 01 16, 516 
Foxmail. exe *#32 sunbady 00 3, 138 
hikcnd. exe sunbady 00 B16 
hqtray. exe #32 sunbady 。 00 360 
igfxpers. exe sunbady 00 208 物理 内 存 1B) 系统 
igfxsrve. exe sunbady 00 1016 总 数 2005 句柄 数 27632 
igfxtray. exe sunbady 00 236 已 组 存 1092 线程 数 817 
Maxthon. exe *32 sunbady 02 37,520 可 用 7 ”进程 数 站 ee 
Le Fy | po 核心 内 存 ED) 页 硬件 1934N / 4258M 
4 加 » 总 数 328 
人 || 
国 显 示 所 有 用 户 的 进程 @) | [结束 进程 E) ] 未 分 页 84 [和 夸 资产 监视 器 Q). |] 
进程 数 65 。 ”CPU 使 用 : 7% ”物理 内 存 : 58% 进程 数 : 65 。 ”CPU 使 用 : 6% ”物理 内 存 : 58% 


图 2-38 任务 管理 器 
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网 络 监视 器 监控 网 络 在 任何 给 定时 间 内 通过 网 络 的 所 有 信息 ， 并 将 数据 帧 复制 到 捕 
获 缓冲 区 ， 然 后 在 网 络 监视 器 的 窗口 上 动态 地 显示 。 

网 络 监视 器 也 允许 远程 捕获 信息 ， 这 就 要 用 到 网 络 监视 器 代理 。 网 络 监视 器 代理 能 
将 统计 数据 送 到 本 地 计算 机 上 ， 然 后 在 本 地 网 络 监视 器 窗口 上 显示 。 网 络 监视 器 还 具有 
对 远程 存 取 服务 的 局 域 网 或 广域网 进行 故障 查找 和 排除 的 功能 。 

如 果 想 实现 捕获 器 在 网 络 上 的 事件 一 被 检测 就 立刻 做 出 反应 ， 可 设计 一 个 捕获 器 触 
发 器 。 捕 获 器 触发 器 执行 指定 的 动作 ， 例 如 ， 当 网 络 监视 器 检测 到 网 络 上 的 一 系列 异常 
情况 时 启动 一 个 可 执行 文件 。 

7. 输出 基准 报表 

基准 测量 的 结果 是 输出 一 个 包含 图 表 的 基准 报表 ， 这 些 图 表 随 时 间 的 推移 记录 了 每 
个 网 段 的 操作 参数 。 除 此 之 外 ， 该 报表 还 应 该 包括 对 异常 情况 和 未 来 趋势 的 总 结 ， 对 核 
心 资源 的 利用 率 以 及 对 报警 阔 值 设置 和 监控 的 建议 。 


2.4.7 编写 通信 规范 说 明 书 


需求 说 明 书 是 需求 收集 阶段 的 产物 ， 而 通信 规范 说 明 书 也 是 通信 分 析 阶 段 的 主要 产 
物 ， 就 如 同 需求 说 明 书 是 产生 通信 规范 分 析 的 前 提 一 样 ， 通 信 规 范 说 明 书 与 需求 说 明 书 
两 者 合 起 来 为 逻辑 网 络 设计 阶段 提供 了 两 个 基本 的 输入 文档 资料 。 需 求 说 明 书 描述 的 是 
新 网 络 在 将 来 要 做 什么 ， 而 通信 规范 说 明 书 描述 的 是 当前 网 络 正在 做 什么 。 

通信 规范 说 明 书 包含 了 估 测 的 或 实测 的 网 络 通信 容量 以 及 大 量 的 统计 表格 ， 记 录 准 
确 归纳 和 分 析 现 存 网 络 得 到 的 结果 ， 并 根据 该 结果 和 需求 说 明 书 提出 网 络 设 计 建 议 
方案 。 

在 正式 编写 通信 规范 说 明 书 之 前 ， 要 进行 数据 准备 ， 包 括 通信 分 析 阶 段 产生 的 大 量 
未 经 处 理 的 数据 ， 如 用 户 通信 规范 估 测 、 通 信和 规范 测量 、 资 源 利 用 率 统计 数据 等 ， 通 信 
规范 说 明 书 必须 把 所 有 的 数据 整理 总 结 成 一 种 能 让 网 络 设计 者 和 管理 人 员 都 能 看 懂 的 
文档 。 

一 份 好 的 通信 规范 说 明 书 少不了 网 络 图 。 几 乎 任何 一 种 绘图 软件 都 能 用 来 生成 这 些 
图 ， 但 通常 考虑 选用 专业 的 绘图 软件 〈 如 Visio)， 因 为 专业 的 绘图 软件 可 以 节省 大 量 的 
时 间 。 从 长 远 利益 来 看 ， 在 一 个 提供 好 的 度量 和 比例 特征 的 应 用 软件 中 进行 早期 绘图 ， 
将 能 为 以 后 的 工作 大 大 节省 时 间 ， 从 而 提高 工作 效率 。 同 时 ， 所 有 的 分 析 数 据 都 应 该 妥 
善 保存 ,就 像 保 存 未 经 加 工 的 需求 分 析 数 据 一 样 。 当 管理 员 们 对 读 到 的 摘要 产生 怀疑 时 ， 
可 以 查看 保存 的 分 析 数 据 。 

通信 规范 说 明 书 记录 了 网 络 当前 的 状态 ， 包 括 网 络 的 配置 、 网 络 互联 设备 水 平 以 及 
共享 资源 的 利用 率 。 通 信 规 范 说 明 书 由 下 面 主要 内 容 组 成 。 

。 执行 情况 概述 。 

。 分 析 阶 段 概述 。 
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。 分 析 数 据 总 结 。 

。 设计 目标 建议 。 

。 申请 批准 部 分 。 

。 修改 说 明 书 。 

1. 执行 情况 概述 

在 执行 情况 概述 中 ， 为 了 让 网 络 管理 人 员 清 楚 地 了 解 进程 的 核心 部 分 ， 此 部 分 应 该 
包含 下 列 各 项 内 容 : 

。 对 项 目的 简单 概述 。 

。 设计 过 程 中 各 个 阶段 的 清单 。 

。 项 目 各 个 阶段 的 状态 ， 包 括 已 完成 的 阶段 和 现在 正 进行 的 阶段 。 

2. 分 析 阶 段 概述 

分 析 阶 段 主 要 描述 如 何 收集 信息 和 收集 信息 的 时 间 ， 对 于 产生 的 信息 ， 需 要 明确 信 
息 产生 的 方式 ， 明 确 是 估 测 信息 还 是 实测 信息 。 由 于 该 文档 是 针对 网 络 设计 人 员 和 网 络 
管理 员 编 写 的 ， 使 用 的 语言 应 该 是 非 专 业 人 员 能 理解 的 描述 性 语言 。 

3. 分 析 数 据 总 结 

数据 总 结 是 通信 规范 说 明 书 的 核心 ， 它 同 需求 说 明 书 中 的 数据 总 结 一 样 重要 。 为 准 
确 展示 当前 网 络 的 功能 图 ， 通 信 规 范 说 明 书 应 包括 下 述 内 容 : 

。 逻辑 网 络 图 。 

。 通信 流量 估 测 (当前 的 和 将 来 的 )。 

。 基准 测量 结果 。 

。 CPU 利用 率 统计 结果 。 

1) 逻辑 网 络 图 

逻辑 网 络 图 是 理解 网 络 通信 流量 分 布 的 重要 内 容 。 在 逻辑 网 络 图 中 ， 网 络 主要 设备 
的 位 置 、 广 域 网 范围 的 网 络 连接 和 主要 的 网 络 互联 设备 都 应 该 清晰 标识 , 如 果 条 件 允 许 ， 
还 应 该 标明 工作 组 的 边界 和 安全 资源 ， 如 Web 服务 器 或 防火 墙 等 。 

2) 通信 流量 估 测 

通信 流量 估 测 有 助 于 分 析 全 部 通信 流 的 方向 和 流量 。 可 以 用 通信 流量 估 测 作为 网 络 
功能 分 析 的 依据 ， 还 应 该 对 需要 重点 分 析 的 内 容 进行 标注 ， 例 如 被 过 度 使 用 的 链 路 或 设 
备 等 。 建 议 使 用 表格 的 形式 来 表示 估算 的 通信 流量 数据 ， 或 者 在 网 络 图 上 以 标注 的 形式 
注 明 其 流量 和 方向 ， 通 常情 况 下 两 种 方法 结合 使 用 效果 更 好 。 

3) 基准 测量 结果 和 CPU 利用 率 统计 结果 

通信 流量 估 测 提供 的 是 一 种 粗略 的 分 析 , 而 基准 法 测量 和 CPU 利用 率 统计 数据 均 侧 
重 于 用 通信 流量 估 测 来 暴露 出 需 引 起 注意 的 地 方 。 通 过 测试 工具 对 通信 流量 和 网 络 资源 
进行 监控 和 分 析 ， 从 而 为 设计 提供 依据 。 在 复杂 的 升级 网 络 中 ， 应 尽 可 能 利用 基准 测量 
结果 和 CPU 利用 率 等 实测 数据 。 

通信 规范 说 明 书 中 ， 应 尽量 通过 图 表 形式 向 用 户 展现 实测 结果 ， 在 重点 内 容 处 进行 
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突出 显示 ， 并 加 入 相应 的 说 明文 字 ， 此 外 ， 应 尽量 避免 使 用 技术 术语 ， 应 该 尽量 使 用 非 
专业 语言 来 解释 专业 的 词汇 。 

4. 设计 目标 建议 

通信 规范 说 明 书 应 总 结 出 网 络 设计 的 目标 。 为 使 新 的 网 络 满足 需求 分 析 ， 应 在 设计 
目标 中 说 明 哪些 是 必须 被 纠正 的 问题 ， 哪 些 是 必须 添加 的 新 功能 。 

根据 需求 说 明 书 和 通信 规范 说 明 书 ， 提 出 的 每 一 项 建议 都 应 该 有 依据 ， 每 一 项 建议 
都 必须 能 解决 一 个 问题 ， 或 满足 一 种 业务 需求 。 

总 而 言 之 ， 网 络 设计 目标 描述 了 新 的 网 络 设计 应 该 达到 的 目标 ， 以 及 为 什么 要 达到 
这 样 的 目标 。 

5. 申请 批准 部 分 

在 逻辑 设计 阶段 之 前 ， 通 信和 规范 说 明 书 必须 已 经 通过 了 经 理 或 核心 成 员 组 的 批准 和 
签字 。 该 说 明 书 的 批准 意味 着 管理 部 门 认为 通信 规范 说 明 书 是 真实 的 ， 同 意 逻 辑 设计 列 
出 的 各 项 目标 。 

设计 通信 规范 说 明 书 时 ， 注 意 提供 一 个 可 供 每 位 经 理 和 网 络 设计 组 组 长 签名 的 
地 方 。 

6. 修改 说 明 书 

因为 通信 规范 说 明 书 是 基于 现 有 网 络 这 一 客观 事实 或 者 是 对 高 可 靠 性 的 估 测 ， 所 以 
管理 部 门 对 这 些 数据 不 可 能 有 太 大 的 争议 。 但 是 , 在 所 有 重要 负责 人 完全 达成 一 致 之 前 ， 
可 能 需要 修改 一 些 地 方 。 

与 处 理 需 求 说 明 书 一 样 ， 不 能 通过 修改 数据 或 实验 结果 来 满足 新 的 设计 目标 。 如 果 
要 修改 或 添加 某 个 目标 时 ， 应 该 加 上 注释 ， 解 释 为 什么 要 修改 或 添加 这 个 目标 。 


2.$ 逻辑 网 络 设计 


2.5.1 逻辑 设计 过 程 概述 


网 络 的 逻辑 结构 设计 ， 来 自 于 用 户 需求 中 描述 的 网 络 行为 、 性 能 等 要 求 ， 逻 辑 设计 
要 根据 网 络 用 户 的 分 类 、 分 布 ， 选 择 特定 的 技术 ， 形 成 特定 的 网 络 结构 ， 该 网 络 结构 大 
致 描述 了 设备 的 互联 及 分 布 ， 但 是 不 对 具体 的 物理 位 置 和 运行 环境 进行 确定 。 

逻辑 设计 过 程 主要 由 以 下 4 个 步骤 组 成 : 

。 确定 逻辑 设计 目标 。 

。 网 络 服务 评价 。 

。 技术 选项 评价 。 

。 进行 技术 决策 。 
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2.5.1.1 ”逻辑 网 络 设计 目标 


逻辑 网 络 的 设计 目标 主要 来 自 于 需求 分 析 说 明 书 中 的 内 容 ， 尤 其 是 网 络 需求 部 分 ， 
由 于 这 部 分 内 容 直 接 体 现 了 网 络 管理 部 门 和 人 员 对 网 络 设计 的 要 求 ,因此 需要 重点 考虑 。 
一 般 情况 下 ， 逻 辑 网 络 设计 的 目标 包括 以 下 一 些 内 容 : 

。 合适 的 应 用 运行 环境 : 逻辑 网 络 设计 必须 为 应 用 系统 提供 环境 ， 并 可 以 保障 用 户 
能 够 顺利 访问 应 用 系统 。 

。 成 熟 而 稳定 的 技术 选 型 : 在 逻辑 网 络 设计 阶段 ， 应 该 选择 较为 成 熟 稳定 的 技术 ， 
越 是 大 型 的 项 目 ， 越 要 考虑 技术 的 成 熟 度 ， 以 避免 错误 投入 。 

。 合理 的 网 络 结构 : 合理 的 网 络 结构 不 仅 可 以 减少 一 次 性 投资 ， 而 且 可 以 避免 网 络 
建设 中 出 现 各 种 复杂 问题 。 

。 合适 的 运营 成 本 : 逻辑 网 络 设计 不 仅仅 决定 了 一 次 性 投资 ， 技 术 选 型 、 网 络 结构 
也 直接 决定 了 运营 维护 等 周期 性 投资 。 

。 逻辑 网 络 的 可 扩充 性 能 : 网 络 设计 必须 具有 较 好 的 可 扩充 性 ， 以 便于 满足 用 户 增 
长 、 应 用 增长 的 需要 ， 保 证 不 会 因为 这 些 增长 而 导致 网 络 重 构 。 

。 轴 辑 网 络 的 易 用 性 : 网 络 对 于 用 户 是 透明 的 ， 网 络 设计 必须 保证 用 户 操作 的 单纯 
性 ， 过 多 的 技术 型 限制 会 导致 用 户 对 网 络 的 满意 度 降低 。 

。 逻辑 网 络 的 可 管理 性 : 对 于 网 络 管理 员 来 说 ， 网 络 必须 提供 高 效 的 管理 手段 和 途 
径 ， 否 则 不 仅 会 影响 管理 工作 本 身 ， 也 会 直接 影响 用 户 。 

。 逻辑 网 络 的 安全 性 : 网 络 安全 应 提倡 适度 安全 ， 对 于 大 多 数 网 络 来 说 ， 既 要 保证 
用 户 的 各 种 安全 需求 ， 也 不 能 给 用 户 带 来 太 多 限制 ; 但 是 对 于 特殊 的 网 络 ， 也 必 
须 采用 较为 严密 的 网 络 安全 措施 。 


2.5.1.2 ”需要 关注 的 问题 


1. 设计 要 素 

设计 工作 的 要 素 主要 包括 : 

。 用 户 需 求 。 

。 设计 限制 。 

。 现 有 网 络 。 

。 设计 目标 。 

逻辑 设计 过 程 ， 就 是 根据 用 户 的 需求 ， 不 违背 设计 限制 ， 对 现 有 网 络 进行 改造 或 新 
建 网 络 ， 最 终 达 到 设计 目标 的 工作 。 

2. 设计 面临 的 冲突 

网 络 设计 工作 中 ， 设 计 目标 是 一 个 复杂 的 整体 ， 由 不 同 维度 的 子 目 标 构成 ， 这 些 子 
目标 独立 考虑 时 ， 存 在 较为 明显 的 优 劣 关系 ， 例 如 : 
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最 低 的 安装 成 本 。 
最 低 的 运行 成 本 。 
最 高 的 运行 性 能 。 
最 大 的 适应 性 。 
最 短 的 故障 时 间 。 
最 大 的 可 靠 性 。 
最 大 的 安全 性 。 

这 些 子 目标 相互 之 间 可 能 存在 冲突 ， 不 存在 一 个 网 络 设计 方案 ， 能 够 使 得 所 有 的 子 
目标 都 达到 最 优 。 为 了 找到 较为 优秀 的 方案 ， 来 解决 这 些 子 目 标的 冲突 ， 可 以 采用 两 种 
方法 : 第 一 种 方式 较为 传统 ， 由 网 络 管理 人 员 和 设计 人 员 一 起 ， 建 立 起 这 些 子 目标 之 间 
的 优先 级 ， 尽 量 让 优先 级 比较 高 的 子 目标 达到 较 优 :第 二 种 方法 ， 对 每 种 子 目标 建立 起 
权重 ， 对 子 目 标的 取 值 范围 进行 量化 ， 通 过 评判 函数 决定 哪 种 方案 最 优 ， 而 子 目标 的 权 
重 关 系 直接 体现 了 用 户 对 不 同 目标 的 关心 度 。 

3. 成 本 与 性 能 

成 本 与 性 能 是 最 为 常见 的 冲突 目标 ， 一 般 来 说 ， 网 络 设计 方案 的 性 能 越 高 ， 也 就 意 
味 着 更 高 的 成 本 ， 包 括 建设 成 本 和 运行 成 本 。 

设计 方案 时 ， 所 有 不 超过 成 本 限制 、 满 足 用 户 要 求 的 方案 ， 都 称 为 可 行 方 案 ， 设 计 
人 员 只 能 从 可 行 方案 中 依据 用 户 对 性 能 和 成 本 的 喜好 进行 选择 。 

4. 款项 支付 

网 络 建设 的 成 本 分 为 一 次 性 投资 和 周期 性 投资 。 

在 初期 建设 过 程 中 ， 如 何 合理 规划 一 次 性 投资 的 支付 ， 是 比较 关键 的 ， 过 早 支付 费 
用 ， 容 易 造 成 建设 单位 的 风险 ， 对 于 未 按 设计 方案 实施 的 情况 ， 无 法 形成 制约 机 制 ， 过 
晚 支 付费 用 ， 容 易 造成 承建 单位 的 资金 压力 ， 导 致 项 目 实施 质量 等 多 方面 的 问题 。 较 为 
合理 的 支付 方式 ， 必 须 是 依据 逻辑 网 络 设计 的 特点 ， 将 网 络 工程 划分 为 各 个 阶段 ， 在 每 
个 阶段 后 实施 验收 ， 并 支付 相应 的 阶段 费用 ， 在 工程 建设 完毕 并 试 运行 一 段 时 间 后 ， 才 
能 支付 最 后 的 质量 保证 费用 。 

运营 维护 等 周期 性 费用 的 支付 ， 也 应 考虑 合理 性 ， 这 主要 体现 在 周期 划分 方式 、 支 
付 方式 等 方面 。 


2.5.1.3 ”主要 网 络 服务 


网 络 设计 人 员 应 在 依据 网 络 提供 的 服务 要 求 来 选择 特定 的 网 络 技术 ， 不 同 的 网 络 ， 
其 服务 的 要 求 不 同 ， 但 是 对 于 大 多 数 网 络 来 说 ， 都 存在 着 两 个 主要 的 网 络 服务 一 一 网 络 
管理 和 网 络 安全 ， 这 些 服务 在 设计 阶段 是 必须 考虑 的 。 

1. 网 络 管理 服务 

网 络 管理 可 以 根据 网 络 的 特殊 需要 ， 将 其 划分 为 几 个 不 同 的 大 类 ， 其 中 的 重点 内 容 
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是 网 络 故障 诊断 、 网 络 的 配置 及 重 配置 和 网 络 监视 。 

1) 网 络 故障 诊断 

网 络 故障 诊断 主要 借助 于 网 管 软件 、 诊 断 软件 和 各 种 诊断 工具 。 对 于 不 同类 型 的 网 
络 和 技术 ， 需 要 的 软件 和 工具 是 不 同 的 ; 应 在 设计 阶段 就 考虑 到 网 络 工程 中 各 种 诊断 软 
件 和 工具 的 需要 。 

2) 网 络 的 配置 及 重 配置 

网 络 的 配置 及 重 配 置 是 网 络 管理 的 另 一 个 问题 ， 各 种 网 络 设备 都 提供 了 多 种 配置 方 
法 ， 同 时 也 提供 了 配置 重新 装载 的 功能 。 在 设计 阶段 ， 考 虑 到 网 络 设备 的 配置 保存 和 更 
新 需要 ， 提 供 特 定 的 配置 工具 以 及 配置 管理 工具 ， 对 于 方便 管理 人 员 的 工作 是 非常 有 必 
要 的 。 

3) 网 络 监视 

网 络 监视 的 需求 随 着 网 络 规模 和 复杂 性 的 不 同 而 不 同 ， 网 络 监视 是 为 了 预防 灾难 ， 
使 用 监视 服务 来 防止 和 监测 网 络 的 运行 情况 。 

2. 网 络 安全 

网 络 安全 系统 是 网 络 逻辑 设计 的 固有 部 分 ， 网 络 设计 者 可 以 采用 以 下 步骤 来 进行 安 
全 设计 。 

1) 明确 需要 安全 保护 的 系统 

首先 要 明确 网 络 中 需要 重点 保护 的 关键 系统 ， 通 过 该 项 工作 ， 可 以 找 出 安全 工作 的 
重点 ， 避 免 全 面 铺 开 而 又 无 法 面面俱到 的 局 面 。 

2) 确定 潜在 的 网 络 弱 点 和 漏洞 

对 于 这 些 重点 防护 的 系统 ， 必 须 通 过 对 这 些 系统 的 数据 存储 、 协 议 传递 、 服 务 方 式 
等 的 分 析 ， 找 出 可 能 存在 的 网 络 弱点 和 漏洞 ; 在 设计 阶段 ， 应 依据 工程 经 验 对 这 些 网 络 
弱点 和 漏洞 设计 特定 的 防护 措施 ; 在 实施 阶段 再 根据 实施 效果 进行 调整 。 

3) 尽量 简化 安全 

安全 设计 要 注意 简化 问题 ， 不 要 盲目 扩大 安全 技术 和 措施 的 重要 性 ， 适 当时 采用 一 
些 传统 而 有 效 、 成 本 低廉 的 安全 技术 来 提高 安全 性 是 非常 有 必要 的 。 

4) 安全 制度 

单纯 的 技术 措施 是 无 法 保证 网 络 的 整体 安全 的 ， 必 须 匹 配 相 应 的 安全 制度 ;逻辑 设 
计 阶 段 ， 尚 不 能 制定 完备 的 安全 制度 ， 但 是 对 安全 制度 的 大 致 性 要 求 ， 包 括 培训 、 操 作 
规范 、 保 密 制 度 等 框架 性 要 求 是 必须 明确 的 。 


2.S.1.4 ”技术 评价 


根据 用 户 的 需求 设计 逻辑 网 络 ， 选 择 正确 的 网 络 技术 比较 关键 ， 在 进行 选择 时 应 考 
虑 如 下 因素 。 
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1. 通信 带宽 

所 选择 的 网 络 技术 必须 保证 足够 的 带宽 ， 能 够 为 用 户 访问 应 用 系统 提供 保障 ; 在 进 
行 选 择 时 ， 不 能 仅 局 限于 现 有 的 应 用 要 求 ， 还 要 考虑 适当 的 带宽 增长 需求 。 

2. 技术 成 熟 性 

所 选择 的 网 络 技术 必须 是 成 熟 稳定 的 技术 ， 有 些 新 的 应 用 技术 在 尚 没有 大 规模 投入 
应 用 时 ， 还 存在 着 较 多 不 确定 因素 ， 而 这 些 不 确定 因素 将 会 为 网 络 建设 带 来 很 多 不 可 估 
量 的 损失 。 虽 然 新 技术 的 自身 发 展 离 不 开工 程 应 用 ， 但 是 对 于 大 型 网 络 工程 来 说 ， 项 目 
本 身 不 能 成 为 新 技术 的 试验 田 ; 因此 ， 使 用 较为 成 熟 、 拥 有 较 多 案例 的 技术 是 明智 的 
选择 。 

同时 ,在 面 对 技 术 变革 的 特殊 时 期 ， 可 以 采用 试点 的 方式 ， 缩 小 新 技术 的 应 用 范围 ， 
规避 技术 风险 ， 待 技术 成 熟 后 再 进行 大 规模 应 用 。 

3. 连接 服务 类 型 

连接 服务 类 型 是 逻辑 设计 时 必须 考虑 的 问题 ， 传 统 的 连接 服务 分 为 面相 连接 服务 与 
非 连 接 服 务 ， 逻 辑 设 计 需 要 在 无 连接 和 面向 连接 的 协议 之 间 进 行 权衡 。 

由 于 当前 广泛 应 用 的 网 络 协议 主要 是 TCP/IP 协议 族 ， 其 网 络 层 协议 是 提供 非 连接 
服务 的 IP 协议 ， 因 此 选择 连接 服务 类 型 ， 主 要 是 对 IP 协议 底层 的 承载 协议 进行 选择 。 
如 果 选 择 连 接 服务 类 型 ， 则 可 以 选择 ATM、SDH 等 协议 ， 如 果 选 择 非 连接 服务 类 型 ， 
则 可 以 选择 以 太 网 等 协议 。 不 同 的 网 络 工程 ， 对 连接 服务 类 型 的 需求 不 同 ， 设 计 者 不 能 
仅 局 限于 一 种 连接 服务 而 进行 设计 。 

4. 可 扩充 性 

网 络 设计 者 的 设计 依据 是 较为 详细 的 需求 分 析 ， 但 是 在 选择 网 络 技术 时 ， 不 能 仅 考 
虑 当前 的 需求 ， 而 忽视 未 来 的 发 展 ;在 大 多 数 情况 下 ， 设 计 人 员 都 会 在 设计 中 预 留 一 定 
的 元 余 ， 无 论 是 在 带宽 、 通 信 容 量 、 数 据 吞 吐 量 、 用 户 并 发 数 等 方面 ， 网 络 实际 需要 和 
设计 结果 之 间 的 比例 应 小 于 一 个 特定 值 以 便于 未 来 的 发 展 ; 一 般 来 说 , 这 个 值 位 于 70% 一 
80% 之 间 ， 在 不 同 的 工程 中 ， 可 根据 需要 进行 调整 。 

S. 高 投资 产 出 

选择 网 络 技术 的 最 关键 一 条 ， 不 是 技术 的 扩展 性 、 高 性 能 性 ， 也 不 是 成 本 最 低 等 概 
念 ， 决 定 设计 和 网 络 管理 人 员 采 用 某 种 技术 的 最 关键 的 一 点 是 技术 的 投入 产 出 比 ， 尤 其 
是 一 些 借助 于 网 络 来 实现 营运 的 工程 ， 只 有 通过 投入 产 出 分 析 ， 才 能 最 后 决定 技术 的 
使 用 。 


2.S.1.$S ”具体 工作 内 容 


逻辑 网 络 设计 工作 主要 包括 如 下 的 内 容 : 
。 网 络 结构 的 设计 。 
。 物理 层 技 术 选 择 。 
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局 域 网 技术 选择 与 应 用 。 
广域网 技术 选择 与 应 用 。 
地 址 设计 和 命名 模型 。 
路 由 选择 协议 。 

网 络 管理 。 

网 络 安全 。 
逻辑 网 络 设计 文档 。 


2.5.2 ”网 络 结构 设计 


传统 意义 上 的 网 络 拓扑 ， 是 将 网 络 中 的 设备 和 节点 描述 成 点 ， 将 网 络 线路 和 链 路 描 
述 成 线 ， 随 着 网 络 的 不 断 发 展 ， 单 纯 的 网 络 拓扑 结构 已 经 无 法 全 面 描述 网 络 ， 因此， 在 
逻辑 网 络 设计 中 , 网 络 结构 的 概念 正在 取代 网 络 拓扑 结构 的 概念 , 成 为 网 络 设计 的 框架 。 

网 络 结构 是 对 网 络 进行 逻辑 抽象 ， 描 述 网 络 中 主要 连接 设备 和 网 络 计算 机 节点 分 布 
而 形成 的 网 络 主体 框架 ， 网 络 结构 与 网 络 拓扑 结构 的 最 大 区 别 在 于 : 网 络 拓扑 结构 中 ， 
只 有 点 和 线 ， 不 会 出 现任 何 的 设备 和 计算 机 节点 ;网 络 结构 主要 是 描述 连接 设备 和 计算 
机 节点 的 连接 关系 。 

由 于 当前 的 网 络 工程 主要 由 局 域 网 和 实现 局 域 网 互联 的 广域网 构成 ， 因 此 可 以 将 网 
络 工程 中 的 网 络 结构 设计 分 成 局 域 网 结构 和 广域网 结构 两 个 设计 部 分 内 容 ， 其 中 局 域 
网 结构 主要 讨论 数据 链 路 层 的 设备 互 连 方式 ， 广 域 网 结构 主要 讨论 网 络 层 的 设备 互 连 
方式 。 


2.5.2.1 ”局域网 结构 


当前 的 局 域 网 络 与 传统 意义 上 的 局 域 网 络 已 经 发 生 了 很 多 变化 ， 传 统 意义 上 的 局 域 
网 络 只 具备 二 层 通信 功能 ， 而 现代 意义 上 的 局 域 网 络 不 仅 具 有 二 层 通信 功能 ， 同 时 具有 
三 层 甚至 多 层 通信 的 功能 。 现 代 局 域 网 络 ， 从 某 种 意义 上 说 ， 被 称 为 园区 网 络 更 为 合适 。 

以 下 是 在 进行 局 域 网 络 设计 时 ， 常 见 的 局 域 网 结构 。 

1. 核心 局 域 网 结构 

单 核心 局 域 网 结构 主要 由 一 台 核 心 二 层 或 三 层 交换 设备 构建 局 域 网 络 的 核心 ， 通 过 
多 台 接 入 交换 机 接 入 计算 机 节点 ， 该 网 络 一 般 通 过 与 核心 交换 机 互 连 的 路 由 设备 (路 由 
器 或 防火 墙 ) 接 入 广域网 中 。 

典型 的 单 核心 结构 如 图 2-39 所 示 。 

单 核心 结构 分 析 如 下 : 

。 核心 交换 设备 在 实现 上 多 采用 二 层 、 三 层 交 换 机 或 多 层 交 换 机 。 

。 如 采用 三 层 或 多 层 设备 ， 可 以 划分 成 多 个 VLAN，VLAN 内 只 进行 数据 链 路 层 帧 

转发 。 
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局 域 网 接 入 交换 机 局 域 网 接 入 交换 机 


桌面 用 户 桌面 用 户 


2-39 ” 单 核 心 局 域 网 结构 


。 网 络 内 各 VLAN 之 间 访 问 需 要 经 过 核心 交换 设备 , 并 且 只 能 通过 网 络 层 数 据 包 转 
发 方式 实现 。 
网 络 中 除 核 心 交换 设备 之 外 ， 不 存在 其 他 的 带 三 层 路 由 功能 的 设备 。 
核心 交换 设备 与 各 VLAN 设备 可 以 采用 10M/100M/1000M 以 太 网 连接 。 
节省 设备 投资 。 
网 络 结构 简单 。 
部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 访 问 效率 高 。 
在 核心 交换 设备 端口 富余 前 提 下 ， 部 门 网 络 接 入 较为 方便 。 
网 络 地 理 范围 小 ， 要 求 部 门 网 络 分 布 比较 紧凑 。 
核心 交换 机 是 网 络 的 故障 单 点 ， 容 易 导 致 整 网 失效 。 
网 络 扩展 能 力 有 限 。 
对 核心 交换 设备 的 端口 密度 要 求 较 高 。 
除非 规模 较 小 的 网 络 ， 和 否则 推荐 桌面 用 户 不 直接 与 核心 交换 设备 相连 ， 也 就 是 核 
心 交换 机 与 用 户 计算 机 之 间 应 存在 接 入 交换 机 。 
2. 双核 心 局 域 网 结构 
双核 心 结构 主要 由 两 台 核 心 交换 设备 构建 局 域 网 核心 ， 该 网 络 一 般 也 是 通过 与 核心 
交换 机 互 连 的 路 由 设备 接 入 广域网 ， 并 且 路 由 器 与 两 台 核 心 交换 设备 之 间 都 存在 物理 
链 路 。 
典型 的 双核 心 结构 如 图 2-40 所 示 。 
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局 域 网 接 入 交换 机 
桌面 用 户 桌面 用 户 
图 2-40 ”双核 心 局 域 网 结构 
双核 心 结构 分 析 如 下 : 


。 核心 交换 设备 在 实现 上 多 采用 三 层 交 换 机 或 多 层 交 换 机 。 

。 网 络 内 各 VLAN 之 间 访 问 需要 经 过 两 台 核心 交换 设备 中 的 一 台 。 

。 网 络 中 除 核心 交换 设备 之 外 ， 不 存在 其 他 的 具备 路 由 功能 的 设备 。 

。 核心 交换 设备 之 间 运 行 特定 的 网 关 保 护 或 负载 均衡 协议 ， 例 如 HSRP、VRRP、 

GLBP 等 。 

核心 交换 设备 与 各 VLAN 设备 间 可 以 采用 10M/100M/1000M 以 太 网 连接 。 

网 络 拓扑 结构 可 靠 。 

路 由 层面 可 以 实现 无 颖 热切 换 。 

部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 多 条 路 径 选择 可 靠 性 更 高 。 

在 核心 交换 设备 端口 富余 前 提 下 ， 部 门 网 络 接 入 较为 方便 。 

设备 投资 比 单 核心 高 。 

对 核心 路 由 设备 的 端口 密度 要 求 较 高 。 

核心 交换 设备 和 桌面 计算 机 之 间 ， 存 在 接 入 交换 设备 ， 接 入 交换 设备 同时 和 双核 

心 存 在 物理 连接 。 

。 所 有 服务 器 都 直接 同时 连接 至 两 台 核 心 交 换 机 ， 借 助 于 网 关 保护 协议 ， 实 现 桌 面 
用 户 对 服务 器 的 高 速 访问 。 

3. 环 型 局 域 网 结构 

环 型 局 域 网 结构 由 多 台 核 心 三 层 设备 连接 成 双 RPR 动态 弹性 分 组 环 , 构建 整个 局 域 
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网 络 的 核心 ， 该 网 络 通 过 与 环 上 交换 设备 互 连 的 路 由 设备 接 入 广域网 络 。 
典型 的 环 型 结构 如 图 2-41 所 示 。 


A 
乌有 只 和 入 


桌面 用 户 桌面 用 户 


桌面 用 户 
图 2-41 环 型 局 域 网 结构 


环 型 结构 分 析 如 下 : 

核心 交换 设备 在 实现 上 多 采用 三 层 交 换 机 或 多 层 交 换 机 。 

网 络 内 各 VLAN 之 间 访 问 需 要 经 过 RPR 环 。 

RPR 技术 能 提供 MAC 层 的 50ms 自 愈 时 间 ， 能 提供 多 等 级 、 可 靠 的 QoS 服务 。 
RPR 有 自 愈 保护 功能 ， 节 省 光纤 资源 。 

RPR 协议 中 没有 提 及 相交 环 、 相 切 环 等 组 网 结构 ， 当 利用 RPR 组 建 大 型 城 域 网 
时 ， 多 环 之 间 只 能 利用 业务 接口 进行 互通 ， 不 能 实现 网 络 的 直接 互通 ， 因 此 它 的 
组 网 能 力 相 对 SDH、MSTP 较 弱 。 

。 由 两 根 反 向 光纤 组 成 环 型 拓扑 结构 。 其 中 一 根 顺 时 针 ， 一 根 逆 时 针 ， 节 点 在 环 上 
可 从 两 个 方向 到 达 另 一 节点 。 每 根 光纤 可 以 同时 用 来 传输 数据 和 同 向 控制 信号 ， 
RPR 环 双向 可 用 。 

利用 空间 重用 技术 实现 的 空间 重用 , 使 环 上 的 带宽 得 到 更 为 有 效 的 利用 。RPR 技 
术 具 有 空间 复 用 、 环 自 愈 保护 、 自 动 拓扑 识别 、 多 等 级 QoS 服务 、 带 宽 公平 机 制 
和 拥塞 控制 机 制 、 物 理 层 介 质 独立 等 技术 特点 。 

设备 投资 比 单 核心 高 。 

核心 路 由 元 余 设 计 实施 难度 较 高 ， 容 易 形 成 路 由 环 路 。 
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4. 层次 局 域 网 结构 

层次 结构 主要 定义 了 根据 功能 要 求 不 同 将 局 域 网 络 划分 层次 构建 的 方式 ， 从 功能 上 
定义 为 核心 层 、 会 聚 层 、 接 入 层 。 层 次 局 域 网 一 般 通过 与 核心 层 设 备 互 连 的 路 由 设备 接 
入 广域网 络 。 

典型 的 层次 结构 如 图 2-42 所 示 。 


~ 六 宙 局 域 网 核心 交换 机 2 


SY 
罗 必 二 岗 及 各 读 坟 区 省 医 吉 ee 
8 6 @ & 8 8 6 和 & 6 8 

桌面 用 户 桌面 用 户 桌面 用 户 桌面 用 户 


图 2-42 层次 局 域 网 结构 


层次 结构 分 析 如 下 : 

。 核心 层 实现 高 速 数据 转发 。 

。 会 聚 层 实 现 丰富 的 接口 和 接 入 层 之 间 的 互 访 控制 。 
。 接 入 层 实现 用 户 接 入 。 

。 网 络 拓扑 结构 故障 定位 可 分 级 便于 维护 。 

。 网 络 功能 清晰 有 利 发 挥 设 备 最 大 效率 。 

。 网 络 拓扑 利于 扩展 。 


2.5.2.2 ”广域网 结构 


在 大 多 数 网 络 工程 中 ， 利 用 广域网 实现 多 个 局 域 网 络 的 互联 ， 形 成 整个 网 络 的 网 络 
结构 。 
在 以 下 各 广域网 结构 分 析 中 ， 没 有 在 局 域 网 与 广域网 之 间 定 义 其 他 路 由 设备 ， 但 是 


第 2 章 计算 机 网 络 规划 与 设计 367 


在 设计 与 实施 时 ， 可 以 根据 需要 添加 特定 的 接 入 路 由 器 或 防火 墙 设备 ， 在 局 域 网 络 规模 
较为 复杂 时 ， 可 以 添加 接 入 路 由 器 ; 在 局 域 网 络 有 安全 需要 时 ， 可 以 添加 防火 墙 。 

1. 单 核心 广域网 结构 

单 核心 结构 主要 由 一 台 核 心路 由 设备 互联 各 局 域 网 络 。 

典型 的 单 核心 结构 如 图 2-43 所 示 。 


局 域 网 2 


局 域 网 1 


局 域 网 3 


广域网 核心 路 由 器 


局 域 网 4 


局 域 网 n 


图 2-43 单 核心 广域网 结构 


单 核心 结构 分 析 如 下 : 

核心 路 由 设备 在 实现 上 多 采用 三 层 交换 机 或 多 层 交 换 机 。 

网 络 内 各 局 域 网 络 之 间 访 问 需要 经 过 核心 路 由 设备 。 

网 络 中 除 核 心路 由 设备 之 外 ， 不 存在 其 他 路 由 设备 。 

各 部 门 局 域 网 至 核心 路 由 设备 之 间 不 采用 点 对 点 线路 ， 而 采用 广播 线路 ， 路 由 设 
备 与 部 门 局 域 网 络 互联 的 接口 属于 该 局 域 网 。 

核心 路 由 设备 与 各 局 域 网 可 以 采用 10M/100M/1000M 以 太 网 连接 。 
节省 设备 投资 。 

网 络 结构 简单 。 

部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 访 问 效率 高 。 

在 核心 路 由 设备 端口 富余 前 提 下 ， 部 门 网 络 接 入 较为 方便 。 
核心 路 由 器 是 网 络 的 故障 单 点 ， 容 易 导 致 整 网 失效 。 

网 络 扩展 能 力 有 限 。 

对 核心 路 由 设备 的 端口 密度 要 求 较 高 。 
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2. 双核 心 广域网 结构 
双核 心 结构 主要 由 两 台 核 心路 由 设备 构建 框架 ， 并 互联 各 局 域 网 。 
典型 的 双核 心 结构 如 图 2-44 所 示 。 


局 域 网 2 


局 域 网 1 


局 域 网 3 


广域网 核心 路 由 器 1 ES 天 一、 -一 一 


局 域 网 n 
图 2-44 双核 心 广域网 结构 


双核 心 结构 分 析 如 下 : 

。 核心 路 由 设备 在 实现 上 多 采用 三 层 交 换 机 或 多 层 交换 机 。 

网 络 内 各 局 域 网 络 之 间 访 问 需要 经 过 两 台 核心 路 由 设备 中 的 一 台 。 

网 络 中 除 核心 路 由 设备 之 外 ， 不 存在 其 他 的 路 由 设备 。 

核心 路 由 设备 之 间 运 行 特定 的 网 关 保护 或 负载 均衡 协议 ， 例 如 HSRP、VRRP、 
GLBP 等 。 

核心 路 由 设备 与 各 局 域 网 可 以 采用 10M/100M/1000M 以 太 网 连接 。 

网 络 拓扑 结构 可 靠 。 

路 由 层面 可 以 实现 无 缝 热切 换 。 

部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 多 条 路 径 选 择 可 靠 性 更 高 。 

在 核心 路 由 设备 端口 富余 前 提 下 ， 部 门 网 络 接 入 较为 方便 。 
设备 投资 比 单 核心 高 。 

核心 路 由 器 路 由 元 余 设计 实施 难度 较 高 ， 容 易 形成 路 由 环 路 。 

对 核心 路 由 设备 的 端口 密度 要 求 较 高 。 

3. 环 型 广域网 结构 

环 型 结构 主要 定义 了 由 三 台 以 上 核心 路 由 设备 构成 路 由 环 路 ， 连 接 各 局 域 网 并 构建 
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广域网 的 方式 ， 在 环 型 广域网 结构 中 ， 任 意 核 心路 由 器 都 和 其 他 两 台 路 由 设备 之 间 有 


连接 。 


典型 的 环 型 结构 如 图 2-45 所 示 。 


局 域 网 2 


局 域 网 1 


局 域 网 3 


局 域 网 4 


局 域 网 n 


图 2-45 ” 环 型 广域网 结构 


环 型 结构 分 析 如 下 : 


核心 路 由 设备 在 实现 上 多 采用 三 层 交 换 机 或 多 层 交 换 机 。 
网 络 内 各 局 域 网 络 之 间 访 问 需要 经 过 核心 路 由 设备 构成 的 环 。 
网 络 中 除 核心 路 由 设备 之 外 ， 不 存在 其 他 的 路 由 设备 。 


核心 路 由 设备 之 间 运 行 特定 的 网 关 保护 或 负载 均衡 协议 ， 例 如 HSRP、VRRP、 


GLBP 等 ; 或 具备 环 路 控制 功能 协议 ， 例 如 OSPF、RIP 等 。 
核心 路 由 设备 与 各 局 域 网 可 以 采用 10M/100M/1000M 以 太 网 连接 。 
网 络 拓扑 结构 可 靠 。 

路 由 层面 可 以 实现 无 颖 热切 换 。 


部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 多 条 路 径 选 择 可 靠 性 更 高 。 


在 核心 路 由 设备 端口 富余 前 提 下 ， 部 门 网 络 接 入 较为 方便 。 
设备 投资 比 双核 心 高 。 

核心 路 由 器 路 由 元 余 设计 实施 难度 较 高 ， 容 易 形 成 路 由 环 路 。 
对 核心 路 由 设备 的 端口 密度 要 求 较 高 。 

环 型 拓扑 占用 较 多 的 端口 。 
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4. 半 元 余 广 域 网 结构 

半 宛 余 结构 主要 定义 了 由 多 人 台 核 心路 由 设备 连接 各 局 域 网 并 构建 广域网 络 的 方式 ， 
在 半 宛 余 结构 中 ， 任 意 核心 路 由 器 存在 至 少 两 条 以 上 连接 至 其 他 路 由 设备 ， 如果 核 心路 
由 器 和 任何 其 他 路 由 器 都 有 连接 ， 就 是 半 宛 余 结构 的 特例 一 一 全 宛 余 广域网 结构 。 

典型 的 半 宛 余 结构 如 图 2-46 所 示 。 


局 域 网 1 局 域 网 2 
广域网 路 由 器 < 


广域网 路 由 器 
广域网 路 由 器 


局 域 网 n 


广域网 路 由 器 
广域网 路 由 器 
广域网 路 由 器 


局 域 网 4 


SS 


广域网 路 由 器 民 ， 
局 域 网 6 局 域 网 5 


图 2-46” 半 元 余 广域网 结构 


半 宛 余 结构 分 析 如 下 : 

。 半 宛 余 网 络 结构 灵活 、 方 便 扩展 。 

。 部 分 网 络 可 以 采用 特定 的 网 关 保 护 或 负载 均衡 协议 ， 例 如 HSRP、VRRP、GLBP 
等 ;或 具备 环 路 控制 功能 协议 ， 例 如 OSPF、RIP 等 。 

。 网 络 拓扑 结构 相对 可 靠 ， 呈 网 状 。 

。 路 由 层面 路 径 选 择 比较 灵活 可 以 有 多 条 备 选 路 径 。 

。 部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 多 条 路 径 选择 ， 可 靠 性 高 。 

。 网 络 结构 零散 管理 和 故障 排除 不 太 方便 。 

。 该 网 络 结构 适合 部 署 OSPF 等 链 路 状态 路 由 协议 。 

5. 对 等 子 域 广域网 结构 

对 等 子 域 结构 是 指 通 过 将 广域网 的 路 由 器 划分 成 两 个 独立 的 子 域 ， 每 个 子 域内 路 由 
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器 采用 半 宛 余 方式 互 连 。 对 等 子 域 结 构 中 ， 两 个 子 域 间 通 过 一 条 或 多 条 链 路 互 连 ， 对 等 
子 域 结构 中 任何 路 由 器 都 可 以 接 入 局 域 网 络 。 
典型 的 对 等 子 域 结构 如 图 2-47 所 示 。 


-/ 。 光 扯 址 网 路 由 器 


/ 一 广域网 路 由 器 SN 
了 一 广域网 路 由 器 \ 
1 <) 1 
! 路 由 器 上 i 
‘ -yy ’ 
\ < 广域网 路 由 器 有 
~ 广域网 路 由 器 广域网 路由 器 ER 闵 
~、.、 广域网 路 由 露 于 、、 oi 
eis Tl 广域网 路 由 器 ER) ~ sy 
ee we a es, 
人 < ~ 


! 广域网 路 由 器 富 广 后 网 ，! 
\ ] | 路 由 器 ’ 
广域网 路 由 器 2 
~ , 
、 


~. 
vi 


图 2-47 对 等 子 域 广域网 结构 


对 等 子 域 结构 分 析 如 下 : 
。 对 等 子 域 之 间 的 互 访 以 对 等 子 域 之 间 的 互 连 线路 为 主 。 
。 对 等 子 域 之 间 可 以 做 到 路 由 汇总 或 明细 路 由 条 目 匹 配 ， 路 由 控制 灵活 。 
。 子 域 间 链 路 带宽 应 高 于 子 域内 链 路 带宽 。 
域 间 路 由 元 余 设 计 实施 难度 较 高 ， 容 易 形成 路 由 环 路 或 发 布 非法 路 由 的 问题 。 
对 用 于 域 互 访 的 域 边界 路 由 设备 的 路 由 性 能 要 求 较 高 。 
路 由 协议 的 选择 主要 以 动态 路 由 为 主 。 
对 等 子 域 适合 于 广域网 络 可 以 明显 划分 为 两 个 区 域 , 并 且 区 域内 部 访问 较为 独立 
的 情况 。 
6. 层次 子 域 广域网 结构 
层次 子 域 结构 将 大 型 广域网 路 由 设备 划分 为 多 个 较为 独立 的 子 域 ， 每 个 子 域内 路 由 
器 采用 半 元 余 方式 互 连 。 层 次 子 域 结构 中 ， 多 个 子 域 之 间 存 在 层次 关系 ， 高 层 子 域 连接 
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多 个 低层 子 域 。 层 次 子 域 结构 中 任何 路 由 器 都 可 以 接 入 局 域 网 络 。 
典型 的 层次 子 域 结构 如 图 2-48 所 示 。 


、 
广域网 路 由 器 ， 
2) 1 


1 广域网 路 由 器 
和 
1 3 
~ 广域网 路 由 器 
“~ 


和 
从 .广域网 路 由 器 长 
> 3 


\ - 四 
要 ~ 
了 全 六 ~ 

a dt ~ /i 四 Ww 
小 4 国 、 \ 
人 cr 广域网 路 由 器 / 
\ 广域网 路 由 器 色相 六 

“ 扫 城 网 路 由 四 沟 J Ps 

图 2-48 ”层次 子 域 广域网 结构 

层次 子 域 结构 分 析 如 下 : 

。 低层 子 域 之 间 的 互 访 应 通过 高 层 子 域 完成 。 

。 层次 子 域 结构 具有 较 好 的 扩展 性 。 


子 域 间 链 路 带宽 应 高 于 子 域内 链 路 带宽 。 

域 间 路 由 宛 余 设计 实施 难度 较 高 ， 容 易 形 成 路 由 环 路 或 发 布 非法 路 由 的 问题 。 
对 用 于 域 互 访 的 域 边界 路 由 设备 的 路 由 性 能 要 求 较 高 。 

路 由 协议 的 选择 主要 以 动态 路 由 为 主 ， 尤 其 适用 于 OSPF 协议 。 

层次 子 域 结构 与 上 层 外 网 互联 ， 主 要 借助 于 高 层 子 域 完成 ; 与 下 层 外 网 互联 ， 主 
要 借助 于 低层 子 域 完成 。 


2.5.2.3 ”层次 化 网 络 设计 模型 


1. 层次 化 网 络 设计 模型 
层次 化 网 络 设计 模型 可 以 帮助 设计 者 按 层次 设计 网 络 结构 ， 并 对 不 同 层次 赋予 特定 
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的 功能 , 为 不 同 层次 选择 正确 的 设备 和 系统 。 一 个 典型 的 层次 化 网 络 结构 包括 以 下 特征 : 

。 由 经 过 可 用 性 和 性 能 优化 的 高 端 路 由 器 和 交换 机 组 成 的 核心 层 。 

。 由 用 于 实现 策略 的 路 由 器 和 交换 机 构成 的 会 聚 层 。 

。 由 用 于 连接 用 户 的 低 端 交换 机 等 构成 的 接 入 层 。 

在 上 述 的 网 络 结构 介绍 中 ， 层 次 局 域 网 结构 和 层次 子 域 广域网 结构 就 是 层次 化 网 络 
设计 模型 分 别 在 局 域 网 和 广域网 设计 中 的 应 用 ; 随 着 用 户 不 断 增 多 ， 网 络 复杂 度 也 不 断 
增 大 ， 层 次 化 网 络 设计 模型 也 成 为 位 于 网 络 主流 的 园区 网 络 的 经 典 模型 。 

采用 层次 化 网 络 设计 模型 进行 设计 工作 ， 具 有 如 下 的 优点 : 

(1) 使 用 层次 化 模型 可 以 使 网 络 成 本 降 到 最 低 ， 通 过 在 不 同 层次 设计 特定 的 网 络 互 
联 设备 ， 可 以 避免 为 各 层 中 不 必要 的 特性 而 花费 过 多 的 资金 ， 层 次 化 模型 可 以 在 不 同 层 
次 进行 更 精细 的 容量 规划 ， 从 而 减少 贷款 浪费 ， 同 时 ， 层 次 化 模型 可 以 使 得 网 络 管理 产 
生 层 次 性 ， 不 同 层次 的 网 络 运行 管理 人 员 的 工作 职责 也 不 同 ， 培 训 规 模 和 管理 成 本 也 不 
同 ， 从 而 减少 控制 管理 成 本 。 

(2) 层次 化 设计 模型 在 设计 中 ， 可 以 采用 不 同 层 次 上 的 模块 化 ， 模 块 就 是 层次 上 的 
设备 及 连接 集合 ， 这 使 得 每 个 设计 元 素 简化 并 易于 理解 ， 并 且 网 络 层次 间 交 界 点 也 很 容 
易 识 别 ， 使 得 故障 隔离 得 到 提高 ， 保 证 了 网 络 的 稳定 性 。 

(3) 层次 化 设计 使 网 络 的 改变 变 得 更 加 容易 ， 当 网 络 中 的 一 个 网 元 需要 改变 时 ， 升 
级 的 成 本 限制 在 整个 网 络 中 很 小 的 一 个 子 集中 ， 对 网 络 的 整体 影响 达到 最 小 。 

2. 三 层 层次 化 模型 

层次 化 模型 中 最 为 经 典 的 是 三 层 层次 化 模型 ， 该 模型 允许 在 三 个 练习 的 路 由 或 交换 
层次 上 实现 流量 会 聚 和 过 滤 ， 这 使 得 三 层 层次 化 模型 的 规模 可 以 从 中 小 型 公司 的 网 络 扩 
充 到 大 型 的 国际 互联 网 络 。 

三 层 层次 化 模型 主要 将 网 络 划分 为 核心 层 、 会 聚 层 和 接 入 层 ， 每 一 层 都 有 着 特定 的 
作用 ;核心 层 提供 不 同 区 域 或 者 下 层 的 高 速 连接 和 最 优 传送 路 径 ; 会 聚 层 将 网 络 业务 连 
接 到 接 入 层 ， 并 且 实 施 与 安全 、 流 量 负 载 和 路 由 相关 的 策略 ;， 接 入 层 为 局 域 网 接 入 广 域 
网 或 者 终端 用 户 访问 网 络 提供 接 入 。 

1) 核心 层 设计 要 点 

核心 层 是 互联 网 络 的 高 速 骨干 ， 由 于 其 重要 性 ， 因 此 在 设计 中 应 该 采用 元 余 组件 设 
计 ， 使 其 具备 高 可 靠 性 ， 能 快速 适应 变化 。 

在 设计 核心 层 设备 的 功能 时 ， 应 尽量 避免 使 用 数据 包 过 滤 、 策 略 路 由 等 降低 数据 包 
转发 处 理 的 特性 ， 以 优化 核心 层 获得 低 延 迟 和 良好 的 可 管理 性 。 

核心 层 应 具有 有 限 的 和 一 致 的 范围 , 如 果 核心 层 覆 盖 的 范围 过 大 , 连接 的 设备 过 多 ， 
必然 引起 网 络 的 复杂 度 加 大 ,导致 网 络 管理 性 降低 ; 同时 如 果 核 心 层 覆 盖 的 范围 不 一 致 ， 
必然 导致 大 量 处 理 不 一 致 情况 的 功能 都 在 核心 层 网 络 设备 中 实现 ， 会 降低 核心 网 络 设备 
的 性 能 。 
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对 于 那些 需要 连接 因特网 和 外 部 网 络 的 网 络 工程 来 说 ， 核 心 层 应 包括 一 条 或 多 条 连 
接 到 外 部 网 络 的 连接 ， 这 样 可 以 实现 外 部 连接 的 可 管理 性 和 高 效 性 。 

2) 会 聚 层 设计 要 点 

会 聚 层 是 核心 层 和 接 入 层 的 分 界 点 ， 应 尽量 将 出 于 安全 性 原因 对 资源 访问 的 控制 、 
出 于 性 能 原因 对 通过 核心 层 流 量 的 控制 等 ， 都 在 会 聚 层 实 施 。 

为 保证 层次 化 的 特性 ， 会 聚 层 应 该 向 核心 层 隐 藏 接 入 层 的 详细 信息 ， 例 如 ， 不 管 接 
入 层 划分 了 多 少 个 子 网 ， 会 聚 层 向 核心 层 路 由 器 进行 路 由 宣告 时 ， 仅 会 宣告 多 个 子 网 地 
址 会 聚 而 形成 的 一 个 网 络 。 另 外 ， 会 聚 层 也 会 对 接 入 层 屏蔽 网 络 其 他 部 分 的 信息 ， 例 如 
会 聚 层 路 由 器 可 以 不 向 接 入 路 由 器 宣告 其 他 网 络 部 分 的 路 由 ， 而 仅仅 向 接 入 设备 宣告 自 
己 是 默认 路 由 。 

为 了 保证 核心 层 连接 运行 不 同 协议 的 区 域 ， 各 种 协议 的 转换 都 应 在 会 聚 层 完成 ， 例 
如 局 域 网 络 中 ， 运 行 了 传统 以 太 网 和 弹性 分 组 环 网 的 不 同 会 聚 区 域 ， 例 如 运行 了 不 同 路 
由 算法 的 区 域 ， 可 以 借助 于 会 聚 层 设 备 完成 路 由 的 汇总 和 重新 发 布 。 

3) 接 入 层 设 计 要 点 

接 入 层 为 用 户 提供 了 在 本 地 网 段 访 问 应 用 系统 的 能 力 ， 接 入 层 要 解决 相 邻 用 户 之 间 
的 互 访 需 要 ， 并 且 为 这 些 访问 提供 足够 的 带宽 。 

接 入 层 还 应 当 适 当 负 责 一 些 用 户 管理 功能 ， 包 括 地 址 认证 、 用 户 认证 、 计 费 管理 等 
内 容 。 
接 入 层 还 负责 一 些 用 户 信息 收集 工作 ， 例 如 用 户 的 人 P 地 址 、MAC 地 址 、 访 问 日 志 
等 信息 。 

3. 层次 化 设计 的 原则 

层次 化 网 络 设计 应 该 遵循 一 些 简 单 的 原则 ， 这 些 原 则 可 以 保证 设计 出 来 的 网 络 更 加 
具有 层次 的 特性 : 

(1) 在 设计 时 ， 设 计 者 应 该 尽量 控制 层次 化 的 程度 ， 一 般 情 况 下 ， 由 核心 层 、 会 聚 
层 、 接 入 层 三 个 层次 就 足够 了 ， 过 多 的 层次 会 导致 整体 网 络 性 能 的 下 降 ， 并 且 会 提高 网 
络 的 延迟 ， 同 时 也 方便 网 络 故 障 排查 和 文档 编写 。 

(2) 在 接 入 层 应 当 保持 对 网 络 结构 的 严格 控制 ， 接 入 层 的 用 户 总 是 为 了 获得 更 大 的 
外 部 网 络 访问 带宽 ， 而 随意 申请 其 他 的 渠道 访问 外 部 网 络 ， 这 是 不 允许 的 。 

(3) 为 了 保证 网 络 的 层次 性 ， 不 能 在 设计 中 随意 加 入 额外 连接 ， 额 外 连接 是 指 打破 
层次 性 ， 在 不 相 邻 层次 间 的 连接 ， 这 些 连 接 会 导致 网 络 中 的 各 种 问题 ， 例 如 缺乏 会 聚 层 
的 访问 控制 和 数据 包 过 滤 等 。 

(4) 在 进行 设计 时 ， 应 当 首先 设计 接 入 层 ， 根 据 流 量 负载 、 流 量 和 行为 的 分 析 ， 对 
上 层 进 行 更 精细 的 容量 规划 ， 再 依次 完成 各 上 层 的 设计 。 

(5) 除去 接 入 层 的 其 他 层次 ， 应 尽量 采用 模块 化 方式 ， 每 个 层次 由 多 个 模块 或 者 设 
备 集合 构成 ， 每 个 模块 间 的 边界 应 非常 清晰 。 
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2.5.2.4 ”网 络 宛 余 设计 


网 络 元 余 设 计 允 许 通 过 设置 双重 网 络 元 素来 满足 网 络 的 可 用 性 需求 ， 元 余 避 免 了 网 
络 的 单 点 失效 ， 其 目标 是 重复 设置 网 络 组 件 ， 以 避免 单个 组 件 的 失效 而 导致 应 用 失效 。 
这 些 组 件 可 以 是 一 台 核 心路 由 器 、 交 换 机 ， 可 以 是 两 台 设备 间 的 一 条 链 路 ， 可 以 是 一 个 
广域网 连接 ， 可 以 是 电源 、 风 扇 、 设 备 引 擎 等 设备 上 的 模块 。 对 于 某 些 大 型 网 络 来 说 ， 
为 了 确保 网 络 中 的 信息 安全 ， 在 独立 的 数据 中 心 之 外 ， 还 设置 了 元 余 的 容 灾 备份 中 心 ， 
以 保证 数据 备份 或 者 应 用 在 故障 下 的 切换 。 

在 网 络 元 余 设计 中 ， 对 于 通信 线路 常见 的 设计 目标 主要 有 两 个 : 一 个 是 备用 路 径 ， 
另外 一 个 是 负载 分 担 。 

1. 备用 路 径 

备用 路 径 主 要 是 为 了 提高 网 络 的 可 用 性 。 当 一 条 路 径 或 者 多 条 路 径 出 现 故 障 时 ， 为 
了 保障 网 络 的 连通 ， 网 络 中 必须 存在 元 余 的 备用 路 径 ， 备 用 路 径 由 路 由 器 、 交 换 机 等 设 
备 之 间 的 独立 备用 链 路 构成 ， 一 般 情况 下 ， 备 用 路 径 仅仅 在 主 路 径 失效 时 投入 使 用 。 

设计 备用 路 径 时 主要 考虑 以 下 因素 : 

(1) 备用 路 径 的 带宽 。 备 用 路 径 带 宽 的 依据 ， 主 要 是 网 络 中 重要 区 域 、 重 要 应 用 的 
带宽 需要 ， 设 计 人 员 要 根据 主 路 径 失效 后 ， 哪 些 网 络 流量 是 不 能 中 断 来 形成 备用 路 径 的 
最 小 带宽 需求 。 

(2) 切换 时 间 。 切 换 时 间 指 从 主 路 径 故 障 到 备用 路 径 投入 使 用 的 时 间 ， 切 换 时 间 主 
要 取决 于 用 户 对 应 用 系统 中 断 服务 时 间 的 容忍 度 。 

(3) 非 对 称 。 备 用 路 径 的 带宽 比 主 路 径 的 带宽 小 是 正常 的 设计 方法 ， 由 于 备用 路 径 
大 多 数 情况 下 并 不 投入 使 用 ， 过 大 的 带宽 容易 造成 浪费 。 

(4) 自动 切换 。 设 计 备用 路 径 时 ， 应 尽量 采用 自动 切换 方式 ， 避 免 使 用 手工 切换 。 

(5) 测试 。 备 用 路 径 由 于 长 期 不 投入 使 用 ， 对 线路 、 设 备 上 存在 的 问题 ， 不 容易 发 
现 ， 应 设计 定期 的 测试 方法 ， 以 便于 及 时 发 现 问 题 。 

2. 负载 分 担 

负载 分 担 是 通过 元 余 的 形式 来 提高 网 络 的 性 能 ， 是 对 备用 路 径 方式 的 扩充 。 负 载 分 
担 是 通过 并 行 链 路 提供 流量 分 担 来 提高 性 能 ， 其 主要 的 实现 方法 是 利用 两 个 或 多 个 网 络 
接口 和 路 径 来 同时 传递 流量 。 

关于 负载 分 担 ， 设 计时 主要 考虑 以 下 因素 : 

(1) 网 络 中 存在 备用 路 径 、 备 用 链 路 时 ， 就 可 以 考虑 加 入 负载 分 担 设计 。 

(2) 对 于 主 路 径 、 备 用 路 径 都 相同 的 情况 ,可 以 实施 负载 分 担 的 特例 一 一 负载 均衡 ， 
也 就 是 多 条 路 径 上 的 流量 是 均衡 的 。 

(3) 对 于 主 路 径 、 备 用 路 径 不 相同 的 情况 ， 可 以 采用 策略 路 由 机 制 ， 让 一 部 分 应 用 
的 流量 分 摊 到 备用 路 径 上 。 
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(4) 在 路 由 算法 的 设计 上 ， 大 多 数 设备 制造 厂商 实现 的 路 由 算法 ， 都 能 够 在 相同 带 
宽 的 路 径 上 实现 负载 均衡 ， 甚 至 于 部 分 特殊 的 路 由 算法 ， 例 如 IGRP 和 增强 IERP 中 , 可 
以 根据 主 路 径 和 备用 路 径 的 带宽 比例 实现 负载 分 担 。 


2.5.3 ”物理 层 技 术 选 择 


在 确定 了 大 致 的 网 络 结构 之 后 ， 需 要 对 网 络 中 物理 层 技 术 进 行 选择 ， 这 些 技术 选择 
内 容 包括 缆 线 类 型 、 选 用 网 卡 等 。 
选择 物理 层 技 术 时 , 不 能 仅 局 限于 当前 的 需要 , 还 要 考虑 到 网 络 升级 所 带 来 的 需求 。 


2.5.3.1 ”技术 选择 原则 


物理 层 技术 的 选择 依据 主要 来 自 于 需求 分 析 说 明 书 和 通信 规范 说 明 书 ， 这 些 说 明 书 
中 已 经 明确 了 带宽 等 通信 参数 的 要 求 。 

以 下 是 对 满足 说 明 书 要 求 的 技术 进行 选择 时 的 一 些 通用 原则 。 

1. 可 扩展 性 与 可 伸缩 性 

选择 底层 技术 时 ， 一 定 要 考虑 扩展 性 ， 否 则 将 导致 大 量 物理 层 设备 的 替换 。 例 如 尽 
管 需 求 说 明 书 中 提出 了 带宽 的 要 求 小 于 10Mbps， 但 是 在 设计 时 ， 仍 可 以 采用 第 5 类 非 
屏蔽 线 和 百 兆 网 卡 ， 以 避免 当 应 用 升级 后 导致 的 网 络 重新 布线 以 及 网 卡 淘汰 ， 这 样 当 整 
个 网 络 升级 至 快速 以 太 网 时 ， 仅 需要 更 换 交换 设备 。 

2. 可 靠 性 、 可 用 性 和 可 恢复 性 

物理 层 的 可 靠 性 、 可 用 性 和 可 恢复 性 主要 来 自 于 应 用 的 需求 ， 如 果 物 理 层 不 稳定 ， 
必然 导致 承载 的 应 用 出 现 故 障 ， 应 尽量 选择 较为 稳定 、 可 靠 的 物理 层 技 术 。 例 如 ， 在 实 
现 远程 用 户 的 接 入 时 ， 不 选择 基于 模拟 信号 调制 的 语音 拨号 接 入 方式 ， 而 是 选择 基于 数 
字 信 号 编码 的 ISDN 或 者 ADSL 方式 。 例如， 在 专 网 建设 中 ， 如 果 用 户 存 在 变动 或 升级 
带宽 的 需求 , 则 不 能 采用 带宽 固定 的 SDH 信道 ,而 是 采用 可 以 动态 变化 带宽 的 ATM PVC 
方式 。 

3. 安全 性 

物理 层 的 不 安全 因素 是 指 未 经 授权 而 非法 访问 网 络 介质 ， 通 常 的 做 法 是 利用 监听 线 
缆 来 监视 传输 。 不 同 的 物理 介质 有 不 同 的 内 在 安全 特征 ， 所 以 客户 的 安全 决定 了 对 物理 
层 设备 的 选择 。 例 如 ， 针 对 一 些 特殊 部 门 的 接 入 ， 采 用 光缆 以 避免 信号 窃听 ; 或 者 是 采 
用 屏蔽 线 缆 蔡 代 非 屏蔽 线 缆 。 

4. 节约 与 成 本 

节约 成 本 也 是 需要 着 重 考虑 的 一 个 问题 。 例 如 ， 在 经 济 上 考虑 是 否 使 用 现存 的 线 线 
或 网 卡 ， 从 成 本 上 考虑 是 需要 内 部 安装 人 员 还 是 专业 的 承包 人 。 


2.5.3.2 ”物理 介质 和 网 卡 的 考虑 
对 有 关 物 理 层 的 需求 了 解 清楚 后 ， 就 可 以 选择 物理 介质 和 网 卡 了 。 
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1. 物理 介质 


物理 介质 包括 有 线 介质 和 无 线 介质 , 表 2-14 是 对 各 种 介质 的 比较 , 直接 体现 了 在 设 
计 中 的 应 用 范围 ， 设 计 人 员 应 根据 需求 和 表 2-14 的 对 应 选择 大 致 的 物理 介质 类 型 。 


表 2-14 ”物理 介质 特性 


性 能 


从 ( 抗 干扰 性 ) 本 
双 绞 线 10Mbps~1000Mbps |< 100m 可 以 模拟 /数字 传输 
< 1lkm 基带 数字 信号 


短波 
地 面 微波 


光纤 较 高 


中 等 
与 距离 无 关 


模拟 传输 电视 、 
数据 及 音频 
远 距 离 传输 
远程 低速 通信 
远程 通信 


一 旦 确定 了 上 表 中 的 物理 介质 类 型 ， 还 需要 根据 实际 需要 ， 确 定 具 体 的 产品 类 型 ， 


例如 : 


。 双 绞 线 : 分 为 屏蔽 线 和 非 屏蔽 线 ， 其 中 非 屏 蔽 线 主要 应 用 的 有 3 类 线 、5 类 线 、6 


类 线 。 


。 509 同 轴 电 缆 : 分 为 粗 缆 和 细 缆 。 


光纤 : 分 为 单 模 与 多 模 ， 产 品 则 以 纤 径 、 光 缆 内 纤 数 、 外 壳 材 质 不 同 而 区 分 。 


。 卫星: 根据 通信 频段 和 天 线 口径 ， 分 为 VSAT (Very Small Aperture Terminal， 甚 
小 口径 卫星 终端 站 ) 和 BGAN (Broadband Global Area Network， 宽 带 全 球 网 络 )。 


2. 网 卡 


网 卡 是 在 介质 确定 后 的 物理 层 元 素 之 一 ， 因 为 网 卡 必须 与 网 络 的 物理 介质 、 拓 扑 结 
构 和 MAC 层 协议 相 匹 配 。 在 选择 网 卡 或 者 决定 现存 的 网 卡 是 否 满足 需要 时 ， 可 以 参考 
表 2-15 的 网 卡特 征 表 。 


表 2-15 网 卡特 性 表 


支持 的 局 域 网 以 太 网 、FDDI、 快 速 以 太 网 、 千 兆 以 太 网 、Arcnet、ISDN、 令 牌 环 网 
支持 的 计算 机 总 线 ”| MCA、ISA、EISA、PCI、NubUS、VME、USB 

RAM 缓冲 大 小 8Kbps、16Kbps 和 32Kbps 

总 线 大 小 8 比特 、16 比特 和 32 比特 

数据 速率 4Mbps、10Mbps、16Mbps、100Mbps、1Gbps 

介质 类 型 10Base2、10BaseT、UTP、STP、 光 缆 

支持 的 旧版 本 VINES、NetWare、Apple Talk 和 Microsoft Windows NT 等 

价格 和 功能 检查 当前 供应 商 的 说 明 书 
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2.5.4 ”局 域 网 技术 选择 与 应 用 


2.5.4.1 生成 树 协议 


在 局 域 网 络 中 ， 交 换 设备 间 借 助 于 生成 树 协议 〈Spanning-Tree Protocol，STP) 来 完 
成 动态 “修剪 ”第 二 层 交换 机 ， 而 形成 统一 的 树 型 结构 ， 避 免 数 据 链 路 层 环 路 的 存在 ， 
其 标准 为 IEEE802.1D。 

对 于 采用 交换 机 实现 局 域 网 段 物理 划分 的 网 络 来 说 ， 生 成 树 协 议 是 实现 交换 机 设备 
间 透 明 桥 接 的 关键 协议 ， 设 计 人 员 将 交换 机 的 物理 连接 设计 成 有 宛 余 和 可 扩展 的 结构 ， 
而 协议 运行 的 结果 将 禁用 某 些 端口 和 连接 ， 使 得 网 络 设备 之 间 形 成 逻辑 的 树 型 结构 。 

交换 机 之 间 通 过 发 送 桥接 协议 数据 单元 (BPDU) 来 建立 和 维护 生成 树 ， 协 议 在 交 
换 机 启动 时 就 参与 了 STP 的 收敛 过 程 ， 当 设备 的 端口 、 连 接 发 生变 化 时 ， 也 会 发 送 维护 
数据 单元 。 

1. STP 收敛 过 程 

交换 机 遵循 下 面 4 个 步骤 将 网 络 结构 收敛 到 一 棵 树 : 

(1) 从 交换 机 中 选择 一 个 作为 根 网 桥 。 

(2) 在 每 台 交 换 机 上 选择 一 个 端口 ， 被 称 为 根 端口 ， 该 端口 提供 到 根 网 桥 的 最 低 开 
销路 径 。 

(3) 在 每 个 局 域 网 段 互联 的 多 个 交换 机 中 ， 选 择 一 个 作为 指定 网 桥 ， 并 从 该 交换 机 
上 选取 指定 端口 。 

(4) 决定 哪 台 交换 机 的 端口 添加 到 生成 树 的 结构 中 ， 所 有 被 选择 的 端口 都 应 该 是 根 
端口 或 者 是 指定 端口 。 

每 次 交换 机 启动 ， 都 会 假设 自己 是 根 网 桥 ， 通 过 BPDU 将 自己 的 桥 ID 与 其 他 交换 
机 的 进行 比较 , 确定 最 小 者 为 真正 的 根 网 桥 ; 在 协议 运行 过 程 中 , 交换 机 能 够 收 到 BPDU 
的 端口 都 将 记录 收 到 的 最 优 BPDU， 由 最 优 BPDU 来 决定 算法 的 运行 ， 确 定 最 优 BPDU 
的 顺序 标准 如 下 : 

。 最 小 根 网 桥 ID 。 

。 到 根 网 桥 的 最 低 路 径 开销 。 

。 发 送 者 最 小 桥 人 D。 

。 最 小 端口 ID。 

基于 这 些 BPDU， 交 换 机 的 所 有 端口 在 启动 后 将 经 历 以 下 4 个 阶段 。 

。 阻 塞 : 只 接收 BPDU。 

。 监听 : 创建 生成 树 。 

。 学 习 : 创建 交换 (桥接 ) 表 。 

。 传输 : 发 送 和 接收 用 户 数据 。 
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2. 选择 根 网 桥 

设计 者 在 进行 了 带 有 元 余 的 局 域 网 结构 设计 之 后 ， 如 果 任 由 STP 进行 修剪 ， 由 于 根 
网 桥 的 选择 主要 基于 桥 DD， 则 很 有 可 能 导致 中 心 的 、 可 靠 的 、 高 速 的 交换 机 不 能 成 为 根 
网 桥 ， 而 低速 的 交换 机 成 为 根 网 桥 。 网 络 设计 者 应 该 避免 这 种 情况 的 发 生 。 

根 网 桥 是 具有 最 小 桥 ID 的 交换 机 ， 桥 ID 有 两 个 部 分 ， 优 先 权 字段 和 交换 机 MAC 
地 址 ， 大 多 数 厂商 都 带 有 自己 的 统一 默认 优先 权 ， 这 样 当 这 些 交换 机 互 连 时 ， 最 小 的 
MAC 地 址 交换 机 就 成 了 根 网 桥 。 

设计 人 员 必 须 针 对 生成 树 协议 ， 对 交换 机 的 优先 权 部 分 进行 手工 设置 ， 通 过 确保 特 
定 的 交换 机 拥有 较 小 的 优先 权 ， 来 避免 低速 、 非 核心 交换 机 成 为 根 网 桥 。 不 同 的 设备 厂 
商 对 优先 权 的 配置 方法 不 同 ， 但 是 设计 人 员 在 这 个 阶段 ， 只 要 确定 局 域 网 络 中 交换 机 的 
优先 级 别 就 行 了 。 

3. 根 保护 

有 些 网 络 设 备 可 以 提供 根 网 桥 的 保护 ， 可 以 防止 低速 交换 机 抢占 根 网 桥 。 在 交换 机 
上 配置 根 保护 的 端口 不 能 作为 根 端口 ， 而 是 作为 局 域 网 段 的 指定 端口 ， 如 果 在 此 端口 上 
收 到 更 优 的 BPDU, 根 保护 会 禁用 这 一 端口 , 而 不 是 采用 这 一 BPDU 和 选用 新 的 根 网 桥 。 

根 保护 功能 需要 在 所 有 不 应 该 成 为 根 网 桥 的 交换 机 的 所 有 端口 上 开启 ， 避 免 这 些 端 
口 可 能 成 为 根 端口 。 

4. STP 更 新 时 间 

在 生成 树 创建 以 后 , STP 协议 会 根据 连接 关系 的 变化 而 产生 更 新 过 程 。 一 般 情 况 下 ， 
STP 协议 更 新 的 时 间 为 30s 一 一 2 倍 的 默认 传送 时 延 计时 , 而 一 些 特殊 的 情况 会 导致 更 新 
时 间 长 达 50s 一 一 最 大 计时 与 2 倍 的 默认 传送 时 延 计 时 之 和 ; 其 中 默认 传送 时 延 计时 为 
15s， 默 认 最 大 计时 为 20s。 

因此 ， 一 旦 网 络 中 出 现 较 大 的 连接 关系 变化 ， 则 意味 着 局 域 网 络 可 能 中 断 30s 或 者 
50s， 这 对 于 大 多 数 网 络 应 用 来 说 ， 是 可 以 接受 的 ; 但 是 对 于 有 些 特殊 应 用 而 言 ， 则 是 不 
可 忍受 的 ; 对 于 承载 了 这 些 应 用 的 局 域 网 络 来 说 ， 只 能 修改 STP 的 传送 时 延 计时 与 最 大 
计时 的 值 〈 这 会 导致 大 量 的 BPDU 和 交换 设备 CPU 资源 的 浪费 )， 或 者 采用 其 他 的 链 路 
保护 技术 。 


2.5.4.2 ”扩展 生成 树 协 议 


对 于 当前 越 来 越 复杂 的 网 络 ， 单 纯 使 用 基于 IEEE 802.1D 的 生成 树 协议 ， 已 经 不 能 
满足 网 络 用 户 在 网 络 结构 发 生变 化 时 的 需求 ， 所 以 需要 在 生成 树 协议 基础 上 ， 形 成 相应 
的 扩展 。 

1. 快速 生成 树 协议 

快速 生成 树 协议 (Rapid Spanning-Tree Protocol，RSTP) 的 标准 为 [EEE 802.1w， 这 
是 对 IEEE 802.D 的 补充 ， 通 过 对 交换 机 端口 的 配置 改变 而 实现 STP 的 快速 收敛 。 
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RSTP 的 核心 思想 是 预先 对 生成 树 的 拓扑 结构 以 及 可 能 发 生 的 变化 进行 设 定 ， 一 旦 
网 络 中 连接 关系 发 生变 化 ， 则 整个 网 络 的 生成 树 会 依据 预先 设 定 的 拓扑 收敛 ， 这 样 减少 
了 STP 重新 配置 和 恢复 服务 所 需 的 时 间 ， 同 时 也 保持 了 STP 即 插 即 用 的 特色 。 

RSTP 将 优先 级 最 高 的 交换 机 设 定 为 根 桥 ， 并 给 各 端口 分 配 相应 的 端口 角色 ， 这 些 
端口 角色 包括 根 、 指 定 、 蔡 换 与 备份 ; 在 STP 的 拓扑 收敛 时 ， 借 助 于 端口 角色 完成 快速 
收敛 。 

2. 基于 VLAN 的 扩展 协议 

在 传统 STP 协议 中 ， 每 个 VLAN 都 会 单独 维护 自己 的 生成 树 ， 这 样 在 网 络 中 的 一 
个 连接 发 生变 化 时 ， 多 个 VLAN 的 生成 树 都 要 发 生变 化 ;而 基于 VLAN 的 扩展 协议 充 
分 利用 多 个 VLAN 中 生成 树 的 类 似 特性 ， 减 少 链 路 变化 和 VLAN 生成 树 运算 对 网 络 的 
整体 影响 。 不 同 组 织 和 网 络 设 备 公 司 都 提供 了 STP 的 VLAN 扩展 协议 。 

IEEE 使 用 多 生成 树 标准 (MST) 增强 了 原始 的 生成 树 算法 ， 即 IEEE802.1s， 该 协 
议 提高 了 RSTP 的 扩展 性 ， 将 一 组 基于 VLAN 的 生成 树 聚 合成 不 同 的 实例 ， 可 以 提供 多 
条 数据 转发 路 径 ， 实 现 负载 均衡 。 

extreme 公司 提出 的 ESpan 技术 ， 这 是 一 种 在 环 状 网 络 中 ， 实 现 多 个 VLAN 的 生成 
树 维护 和 快速 收敛 技术 。 

Cisco 公司 提出 的 “BPDU 倾斜 检测 ”功能 ， 允 许 交 换 机 跟踪 和 检测 各 种 BPDU， 并 
以 系统 日 志 的 方式 通知 管理 员 。 同 时 提出 了 多 实例 生成 树 协议 (MISTP), 允许 一 组 VLAN 
来 共同 使 用 一 棵 生成 树 。 


2.5.4.3 ”虚拟 局 域 网 


虚拟 局 域 网 (VLAN) 基本 上 可 以 看 作 是 一 个 广播 域 ， 是 根据 逻辑 位 置 而 非 物理 位 
置 划分 的 一 组 客户 工作 站 的 集合 ， 这 些 工作 站 不 在 同一 个 物理 网 络 中 ， 但 可 以 像 在 一 个 
普通 局 域 网 上 那样 进行 通信 和 信息 交换 ,VLAN 是 局 域 网 建设 中 的 重要 内 容 , 围绕 VLAN 
的 主要 设计 内 容 包 括 : 

。 VLAN 划分 方法 。 

。 VLAN 划分 方案 。 

。 VLAN 的 跨 设 备 互 连 。 

。 VLAN 间 路 由 。 

1. VLAN 划分 方法 

VLAN 划分 方法 是 指 采用 何 种 标准 ， 以 确定 VLAN 中 节点 的 方法 。 

VLAN 划分 方法 主要 包括 下 述 5 种 : 

。 基于 设备 端口 。 

。 基于 MAC 地 址 。 

。 基于 网 络 地 址 。 
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。 基于 全 组 播 。 

。 基于 策略 。 

不 同 的 划分 方法 适用 于 不 同 的 网 络 应 用 需求 。 

1) 基于 设备 端口 

最 常用 的 VLAN 划分 方法 就 是 基于 设备 端口 ， 通 过 将 设备 上 的 端口 划 归 不 同 ID 的 
VLAN， 使 得 设备 端口 连接 的 计算 机 节点 隶属 于 不 同 的 VLAN; 由 于 设备 的 端口 与 计算 
机 节点 的 物理 位 置 有 关联 ， 因 此 该 种 方法 其 实 是 基于 计算 机 节点 的 物理 位 置 来 进行 
VLAN 划分 的 。 

这 种 方法 配置 比较 简单 并 且 有 效 ， 但 它 不 允许 多 个 VLAN 同时 包括 同一 物理 网 段 ， 
其 最 主要 的 限制 是 : 当 某 个 用 户 从 一 个 端口 改 到 另 一 端口 时 ， 网 络 管理 员 将 不 得 不 对 
VLAN 成 员 进 行 重新 配置 。 

大 多 数 局 域 网 络 的 VLAN 划分 都 采用 基于 设备 端口 的 方式 , 在 设计 阶段 ， 设 计 者 需 
要 确定 局 域 网 络 内 存在 多 少 VLAN， 并 给 不 同 VLAN 分 配 ID 号 ， 同 时 需要 通过 端口 表 
来 确定 各 端口 应 加 入 的 VLAN 号 。 

2) 基于 MAC 地 址 

基于 MAC 地 址 是 指 网 络 管理 人 员 必 须 确定 每 个 VLAN 中 各 计算 机 节点 的 MAC 地 
址 ， 也 就 是 为 每 个 VLAN 形成 一 个 MAC 地 址 库 ， 只 有 属于 同一 个 MAC 地 址 库 的 计算 
机 节点 才 人 允许 通信 。 

由 于 MAC 地 址 是 网 卡 的 唯一 标识 ， 计 算 机 在 局 域 网 络 内 部 发 生物 理 位 置 变化 时 ， 
不 会 导致 VLAN 的 变化 ， 因 此 基于 MAC 地 址 的 划分 方法 是 屏蔽 了 计算 机 节点 物理 位 
置 的 。 

这 种 方法 适用 于 网 络 节点 流动 性 较 大 ， 但 是 计算 机 之 间 分 组 关系 相对 稳定 的 局 域 网 
存在 以 下 优 缺 点 : 
。 VLAN 不 会 因为 计算 机 节点 的 流动 而 产生 变化 和 重新 配置 。 
。 同一 个 MAC 地 址 可 以 处 于 多 个 VLAN 中 。 
。 VLAN 的 MAC 地 址 库 初 始 化 工作 量 较 大 。 
。 一 旦 用 户 计算 机 更 换 网 卡 , 就 必须 进行 VLAN 数据 库 的 更 新 , 否则 用 户 无 法 访问 
网 络 。 
。 对 于 临时 出 现在 局 域 网 中 的 便携 计算 机 ， 则 必须 由 管理 员 加 入 VLAN 数据 库 才 
能 访问 网 络 。 
3) 基于 网 络 地 址 
基于 网 络 地 址 的 划分 方法 ， 主 要 是 借助 于 第 3 层 协 议 的 地 址 来 确定 VLAN 成 员 , 常 
用 的 网 络 层 地 址 是 他 地 址 。 在 设计 基于 网 络 地 址 的 VLAN 划分 方式 时 , 需要 确定 VLAN 
和 网 络 地 址 段 之 间 的 关系 ， 例 如 对 于 不 同 ID 的 VLAN， 确 定 其 使 用 的 卫 地 址 段 。 
采用 基于 网 络 地 址 的 划分 方法 适用 于 网 络 安全 性 要 求 不 高 ， 用 户 组 经 常 发 生变 动 的 


络 
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网 络 ， 其 存在 的 优 缺 点 如 下 : 
用 户 的 网 卡 调换 ， 只 要 不 重新 分 配 地 址 ， 不 会 对 VLAN 产生 影响 。 
用 户 在 进行 VLAN 间 切 换 时 ， 只 需要 修改 相应 的 网 络 地 址 ， 如 下 地 址 。 
利用 实现 基于 服务 或 基于 应 用 的 各 种 策略 。 
对 于 网 络 设备 来 说 ， 减 少 了 数据 帧 标记 的 消耗 。 
缺乏 安全 性 。 
对 网 络 地 址 的 处 理会 带 来 较 大 的 资源 损耗 。 
网 络 管理 员 对 用 户 的 控制 能 力 降低 。 

4) 基于 全 组 播 

IP 组 播 代 表 着 一 种 与 众 不 同 的 VLAN 划分 方法 ,各 站 点 可 以 自由 地 动态 决定 参加 到 
哪 一 个 或 哪 一 些 他 组 播 组 中 。 一 个 全 组 播 组 实际 上 用 一 个 DD 类 地 址 表示 ， 当 向 一 个 组 
播 组 发 送 一 个 IP 报 文 时 ,此 报 文 将 被 传送 到 此 组 中 的 各 个 工作 站 点 处 , 这 实际 上 就 是 一 
个 特定 的 VLAN。 

基于 IP 组 播 的 VLAN 就 是 针对 不 同 的 卫 组 播 地 址 建立 不 同 的 VLAN, 这 种 VLAN 
中 的 各 个 成 员 都 是 临时 节点 ， 节 点 可 以 随时 宣布 加 入 和 退出 组 播 组 ， 该 种 方法 适用 于 网 
络 中 存在 大 量 基于 组 播 应 用 的 情况 。 

5) 基于 策略 

基于 策略 的 划分 方法 ， 是 实施 VLAN 划分 最 复杂 的 方法 ， 其 划分 能 力也 最 强 ; 建立 
VLAN 的 标准 不 再 是 一 种 规则 ， 而 是 多 种 规则 的 综合 ; 也 就 是 说 该 方法 允许 网 络 管理 员 
使 用 任何 VLAN 策略 的 组 合 来 创建 满足 其 需求 的 VLAN。 

在 实施 策略 制定 时 ,不 仅仅 局 限于 上 面 提 到 的 任何 一 种 VLAN 划分 策略 , 还 可 以 根 
据 应 用 协议 来 添加 策略 ; 因此 基于 策略 的 VLAN 划分 方法 具有 较 强 的 灵活 性 , 但 是 一 旦 
发 生变 化 ， 其 调整 的 难度 也 相应 加 大 ; 另外 这 种 划分 方法 对 网 络 管理 人 员 的 要 求 较 高 。 

2. VLAN 划分 方案 

VLAN 划分 方案 主要 指 的 是 在 进行 VLAN 划分 时 ,应 如 何 划 分 多 个 VLAN， 由 于 基 
于 端口 划分 的 方法 最 常用 ， 而 其 他 划分 方法 具有 较 多 不 确定 性 ， 因 此 本 文 仅 给 出 基于 端 
口 划 分 方案 中 应 考虑 的 内 容 。 


1) 管理 VLAN 
管理 VLAN 是 由 网 络 管理 人 员 专 用 的 网 络 ， 一 般 情况 下 ， 管 理 VLAN 中 节点 主要 
包括 以 下 内 容 : 
。 大 型 网 络 设备 一 般 提供 网 络 管理 方式 ， 因 此 所 有 网 络 设备 的 管理 端口 都 应 加 入 管 
理 VLAN。 


。 大 型 服务 器 也 会 提供 特殊 的 远程 管理 网 络 端口 ， 这 些 端 口 不 对 外 提供 服务 ， 只 提 
供 远程 访问 服务 ， 也 应 该 加 入 管理 VLAN。 
。 各 种 设备 向 网 管 服务 器 提交 SNMP 协议 数据 的 网 络 端口 。 
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。 网 管 平台 服务 器 和 网 管 工作 站 。 

通过 划分 管理 VLAN， 并 对 管理 VLAN 划分 特殊 VLAN ID 号 和 网 络 层 地 址 ， 可 以 
增强 网 络 管理 工作 的 安全 性 ， 避 免 用 户 对 网 络 管理 设备 的 直接 访问 ， 是 非常 有 必要 的 。 

管理 VLAN 可 以 与 其 他 VLAN 不 进行 连通 ， 以 确保 网 络 管理 的 安全 性 。 
2) 服务 器 VLAN 
服务 器 是 向 局 域 网 络 提供 服务 的 关键 ， 大 多 数 情况 下 ， 局 域 网 内 部 的 服务 器 都 位 于 
局 域 网 的 核心 部 分 , 针对 服务 器 群 建立 一 个 特定 的 VLAN, 可 以 加 强 服务 器 之 间 的 访问 ， 
同时 提高 了 服务 器 的 运行 安全 性 。 
对 于 网 络 中 服务 器 较 多 的 情况 ， 还 不 能 仅仅 划分 为 一 个 VLAN， 可 以 根据 服务 器 的 
服务 内 容 进行 更 细 的 VLAN 划分 ,例如 管理 类 服务 器 VLAN、 应 用 服务 器 VLAN、 数 据 
库 服务 器 VLAN 等 。 
针对 服务 器 划分 VLAN 的 优势 在 于 可 以 针对 这 些 VLAN 的 网 络 地 址 设 定 特定 的 访 
问 控制 策略 ， 以 增强 服务 器 的 运行 安全 性 。 
3) 用 户 的 部 门 VLAN 
在 网 络 使 用 中 ， 相 同 的 部 门 用 户 ， 其 所 需要 的 应 用 服务 基本 是 一 致 的 ， 因 此 可 以 针 
对 用 户 计算 机 的 部 门 分 布 情况 ， 划 分 不 同 的 VLAN， 例 如 财务 VLAN、 生 产 VLAN、 销 
售 VLAN 等 。 
可 以 针对 不 同 部 门 的 VLAN, 制定 不 同 的 访问 控制 策略 , 以 提高 整个 网 络 的 安全 性 。 
3. VLAN 的 跨 设 备 互 连 
在 基于 设备 端口 的 VLAN 划分 方式 中 ,一 台 交换 机 上 可 能 存在 多 个 VLAN 的 端口 ， 
但 同时 ， 一 个 VLAN 的 端口 ， 也 可 以 分 布 在 不 同 的 交换 机 设备 上 。 为 了 实现 不 同 交换 机 
上 相同 VLAN 端口 间 的 互 访 ， 必 须 借 助 于 VLAN 的 跨 设备 互 连 协议 。 
一 般 来 说 ， 在 基于 端口 方式 下 ， 网 络 端 口 可 以 处 于 以 下 几 种 状态 : 
。 静态 访问 端口 (static-access): 该 类 端口 只 能 属于 一 个 VLAN， 并 且 一 旦 设 定 ， 
将 不 再 发 生变 化 ， 除 非 修改 端口 所 属 的 VLAN ID。 

。 动态 访问 端口 (dynamic-access): 该 类 端口 可 以 动态 地 加 入 VLAN， 并 且 可 以 加 
入 多 个 VLAN， 这 种 方式 在 具体 应 用 中 很 少 出 现 。 

。 VLAN 互 连 端口 (trunk): 该 类 端口 主要 用 于 不 同 交换 机 间 的 VLAN 数据 帧 传递 ， 
该 端口 主要 通过 对 数据 包 进 行 封装 ,并 加 入 VLAN 标记 信息 的 方式 , 将 数据 帧 传 
递 给 其 他 设备 ， 由 其 他 设备 进行 解析 后 ， 传 递 至 相应 的 VLAN。 

对 于 静态 访问 端口 ， 其 配置 方法 较为 简单 ， 仅 仅 需 要 配置 该 端口 属于 相应 的 VLAN 
就 行 了 ; 但 是 对 于 VLAN 互 连 端口 ， 则 需要 考虑 的 配置 就 相对 复杂 得 多 ; 对 于 Trunk 端 
口 ， 一 般 需要 考虑 以 下 配置 信息 : 

。 Trunk 端口 允许 互 连 的 VLAN。 如 果菜 一 个 VLAN 不 在 当前 Trunk 端口 的 允许 互 

连 VLAN 范围 中 ， 就 意味 着 本 交换 机 不 能 利用 这 个 端口 将 封装 好 的 该 VLAN 帧 
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传递 给 其 他 交换 机 ; 对 于 这 个 VLAN 来 说 , 该 Trunk 端口 就 是 相当 于 生成 树 中 的 
一 个 被 阻塞 端口 。 网 络 设计 中 ， 人 允许 不 同 的 VLAN 借助 于 不 同 的 Trunk 端口 来 实 
现 设 备 互 连 ， 例 如 所 有 单 号 VLAN 利用 Trunk 端口 1 互 连 ， 而 所 有 双 号 VLAN 
利用 Trunk 端口 2 互 连 。 

。 封装 协议 。 各 种 网 络 设备 的 厂商 ， 都 可 以 设计 其 独 有 的 VLAN 封装 协议 ， 例 如 
Cisco 公司 提供 的 ISL 协议 ; 对 于 不 同 厂商 的 设备 互 连 来 说 ,只 能 选择 标准 的 IEEE 
802.1Q 协议 ， 否 则 无 法 互 连 ， 对 于 相同 厂商 的 设备 来 说 ， 只 要 互 连 的 两 个 Trunk 
端口 使 用 相同 的 封装 协议 就 可 以 完成 VLAN 的 跨 设备 互 连 。 

。 Trunk 端口 的 默认 VLAN。Trunk 端口 也 是 属于 一 个 VLAN 的 ， 这 个 VLAN 被 称 
为 该 端口 的 默认 VLAN; 需要 注意 的 是 ， 在 数据 帧 传递 过 程 中 ，Trunk 端口 对 不 
是 默认 VLAN 的 数据 帧 都 是 封装 后 才 传 递 ， 而 对 于 默认 VLAN 的 数据 帧 ， 则 不 
进行 封装 ， 因 此 ， 两 个 互 连 的 Trunk 端口 ， 除 了 允许 通过 的 VLAN 要 相同 之 外 ， 
其 默认 VLAN 也 必须 一 致 ， 假 如 网 络 中 存在 10 个 VLAN， 交 换 机 1 的 Trunk 口 
的 默认 VLAN 为 1， 交 换 机 2 的 Trunk 口 的 默认 VLAN 为 2， 两 个 Trunk 口 允许 
所 有 的 VLAN 通过 ， 则 会 产生 除了 VLAN 1 和 VLAN 2 不通， 其 他 VLAN 都 是 
互通 的 奇特 情况 。 

4. VLAN 间 路 由 

VLAN 间 是 无 法 在 数据 链 路 层 连 通 的 ， 只 能 借助 于 网 络 层 协议 连通 。 

实现 VLAN 间 路 由 需要 借助 于 网 络 层 设 备 一 一 路 由 器 ， 图 2-49 所 示 是 利用 路 由 器 


实现 VLAN 间 路 由 的 两 种 方式 。 


独立 路 由 器 方式 三 层 交换 机 方式 


图 2-49 实现 VLAN 间 路 由 的 两 种 方式 


1) 借助 于 独立 路 由 器 
对 于 只 能 提供 数据 链 路 层 功能 的 交换 机 来 说 ,划分 的 VLAN 是 无 法 直接 连接 的 ， 必 
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须 借助 于 独立 的 路 由 设备 。 在 使 用 独立 的 路 由 器 时 ， 路 由 器 只 需要 一 个 端口 接 入 到 二 层 
交换 机 ;在 这 个 物理 端口 上 ， 将 定义 若干 个 逻辑 端口 ， 每 个 端口 都 接 入 不 同 的 VLAN,， 
则 VLAN 间 就 借助 于 路 由 器 实现 了 互 连 ， 这 种 方式 被 形象 地 称 为 独 臂 路 由 器 方式 ; 在 通 
信 过 程 中 ，VLAN 间 数 据 帧 要 被 解 封 成 卫 ， 才 能 经 过 路 由 器 进行 传递 。 

2) 借助 于 三 层 交 换 机 

如 果 网 络 中 存在 着 三 层 交 换 设备 ， 由 于 三 层 交 换 机 具有 路 由 功能 ， 可 以 直接 实现 多 
个 VLAN 之 间 的 通信 。 三 层 交换 机 就 相当 于 一 个 中 心路 由 器 ， 每 个 VLAN 都 是 该 路 由 
器 的 直接 连接 网 络 ,这 些 VLAN 之 间 只 需要 进行 简单 的 路 由 交换 ,而 不 需要 复杂 的 路 由 
计算 ， 就 可 以 完成 连通 。 

三 层 交 换 机 与 独立 路 由 器 不 同 的 是 ， 三 层 交 换 机 不 需要 对 所 有 的 VLAN 数据 包 进 
行 解 封 、 重 新 封装 操作 ， 可 以 基于 “一 次 路 由 、 多 次 交换 ”原理 的 VLAN 间 线 速 交换 蔡 
代数 据 包 的 路 由 。 

目前 借助 于 三 层 交 换 机 实现 VLAN 间 通 信 是 局 域 网 设计 的 主流 方法 。 


2.S.4.4 ”无 线 局 域 网 


在 园区 网 络 中 ， 无 线 局 域 网 络 可 以 满足 移动 用 户 对 内 部 网 络 和 因特网 的 接 入 需求 。 
一 个 无 线 局 域 网 络 是 由 AP 组 成 ， 该 设备 利用 射频 和 无 线 用 户 通信 ， 一 个 AP 能 够 覆盖 
的 区 域 称 为 无 线 单元 。 

设计 一 个 无 线 局 域 网 结构 需要 设计 者 了 解 一 个 无 线 单元 的 覆盖 区 域 大 小 、 需 要 多 少 
个 无 线 单元 才能 满足 整体 区 域 的 覆盖 需求 ， 其 中 影响 无 线 单元 的 因素 包括 数据 速率 、 电 
源 、 天 线 功 率 和 位 置 ， 同 时 安装 现场 的 建筑 特性 也 会 影响 覆盖 区 域 。 

设计 无 线 局 域 网 络 需要 考虑 以 下 三 个 部 分 的 内 容 。 

1. 定位 AP 实现 最 大 覆盖 率 

理论 上 的 AP 信号 覆盖 区 域 是 一 个 三 维 的 球体 ， 而 AP 处 于 中 心 的 位 置 上 ; 由 于 大 
多 数 AP 多 是 全 方位 天 线 , 通常 是 4 一 6 英寸 的 发 射 器 件 , 连接 在 一 个 可 旋转 或 可 定位 的 
轴 上 ; 天 线 的 信号 强度 在 垂直 于 天 线 轴 的 方向 最 强 ， 而 平行 于 天 线 轴 的 方向 最 弱 ， 其 覆 
盖 的 区 域 就 像 一 个 轮胎 的 内 胆 。 

AP 可 以 安装 在 一 个 水 平 或 垂直 的 位 置 上 ， 但 是 要 确保 全 方位 天 线 指向 正 上 方 ; 对 
于 数据 传输 速率 ,可 以 通过 改变 电源 或 使 用 的 天 线 来 改变 覆盖 区 域 或 覆盖 的 形状 ; 同时 ， 
墙壁 等 障碍 物 可 以 衰减 信号 的 强度 ， 但 不 会 完全 阻挡 信号 。 

在 设计 工作 中 ， 应 对 无 线 网 络 AP 设备 的 信号 覆盖 进行 预测 ， 明 确 满 足 数 据 通信 的 
信号 覆盖 区 域 ， 再 依据 区 域 范围 设计 各 AP 的 位 置 ， 同 时 对 多 个 AP 信号 覆盖 的 交界 位 
置 应 重点 进行 测试 ， 保 证 整个 区 域 的 整体 覆盖 。 

2. 无 线 局 域 网 中 的 虚拟 局 域 网 设计 

在 整体 无 线 局 域 网 覆盖 区 域 中 存在 多 个 AP 设备 ， 用 户 在 覆盖 区 域内 移动 时 ， 由 于 
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信号 的 强 弱 ,会 选择 不 同 的 AP 设备 进行 通信 。AP 设备 需要 通过 网 络 线路 连接 至 有 线 网 
络 ， 并 可 以 对 接 入 的 无 线 网 卡 自动 分 配 或 者 手动 分 配 卫 地 址 。 

在 对 无 线 局 域 网 络 的 虚拟 网 络 设计 中 ， 为 了 保证 用 户 可 以 自由 漫游 同时 保持 对 网 络 
资源 的 不 断 访问 ,可 以 将 所 有 的 AP 的 地 址 都 放 在 一 个 王子 网 内 ， 也 就 是 说 在 一 个 虚拟 
局 域 网 络 中 ; 这 样 连接 的 无 线 网 卡 之 间 通 信 较 为 简单 ， 同 时 其 切换 AP 时 丢失 正在 传输 
数据 包 的 可 能 性 降 到 了 最 低 。 

当然 , 如 果 无 线 网 络 用 户 过 多 , 可 以 根据 应 用 或 者 地 理 位 置 划分 为 多 个 虚拟 局 域 网 ， 
但 是 网 卡 从 一 个 网 段 的 AP 切换 到 其 他 AP 时 ， 必 然 会 导致 数据 包 的 丢失 。 

3. 元 余 无 线 接 入 点 

无 线 局 域 网 络 同样 可 以 实现 元 余 ， 部 分 厂商 提供 了 AP 的 热 备份 功能 ， 这 种 技术 容 
许 在 一 个 覆盖 区 域 中 使 用 两 个 AP， 并 共享 同一 个 频道 ， 其 中 一 个 主 AP 是 活跃 的 ， 而 
备份 AP 监控 主 AP 和 网 络 运行 的 情况 ， 一 旦 主 AP 出 现 故 障 ， 则 由 备份 AP 进行 替代 ; 
主 用 和 备用 AP 间 的 距离 较 小 ， 除 了 人 P 地 址 不 同 ， 其 他 配置 基本 一 致 ， 另 外， 主 AP 恢 
复 后 需要 用 户 进 行 手工 操作 来 完成 备用 至 主 用 的 切换 。 

4. 网 络 SSID 

无 线 AP 的 SSID 是 无 线 单元 的 名 称 ， 在 一 个 园区 网 络 的 无 线 局 域 网 络 中 ， 所 有 的 
无 线 AP 都 应 该 配置 成 一 样 的 SSID。 


2.5.4.5 ”线路 元 余 和 负载 分 担 


局 域 网 交换 机 之 间 设 计 元 余 链 路 是 较为 常见 的 做 法 ， 对 于 这 些 元 余 链 路 则 存在 着 备 
份 和 负载 分 担 两 种 应 用 方式 。 

1. 备份 方式 

对 于 大 多 数 局 域 网络 来 说 ， 虽 然 网 络 中 交换 机 之 间 存 在 着 链 路 的 元 余 ， 但 是 由 于 
IEEE 802.1D 标准 中 STP 算法 的 运行 ， 导 致 这 些 网 络 设备 之 间 的 元 余 链 路 只 能 有 一 条 生 
效 ， 而 其 他 链 路 处 于 备份 状态 ， 一 旦 主 用 链 路 失效 ， 经 过 STP 计算 收敛 ， 将 使 得 备份 链 
路 生效 。 

在 这 种 方式 下 ， 网 络 必然 存在 交换 机 或 者 链 路 处 于 闲置 的 状态 ， 导 致 资源 的 浪费 。 

2. 负载 分 担 方式 

由 于 局 域 网 络 中 存在 多 个 VLAN, 实际 上 每 个 VLAN 都 必须 维护 自己 的 生成 树 ， 因 
此 可 以 通过 将 宛 余 设备 和 宛 余 线路 分 配 到 不 同 的 VLAN 中 并 分 配 不 同 的 角色 ， 实 现 负 
载 的 分 担 。 例 如 ， 某 台 交 换 机 对 于 一 些 VLAN 来 说 是 根 网 桥 ， 而 对 于 另外 一 些 VLAN 
来 说 则 是 备份 根 网 桥 。 

通过 这 种 方式 ， 可 以 避免 元 余 设备 和 元 余 链 路 在 网 络 中 的 闲置 ， 实 现 负 载 分 担 。 

在 所 有 的 基于 VLAN 的 生成 树 扩展 协议 中 ,都 可 以 实现 负载 分 担 方 式 , 仅仅 是 配置 
的 方法 和 命令 存在 着 差异 。 
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2.5.4.6 ”交换 机 设备 应 用 


交换 机 作为 局 域 网 的 核心 设备 ， 除 了 常规 的 数据 帧 的 存储 与 转发 功能 之 外 ， 还 有 一 
些 特 殊 的 应 用 ， 这 些 应 用 可 以 满足 局 域 网 络 用 户 的 一 些 特殊 需求 ， 主 要 包括 链 路 聚合 、 
宛 余 网 关 、 以 太 网 供电 、 多 业务 模块 等 。 

1. 链 路 聚合 

链 路 聚合 是 将 两 个 或 更 多 数据 信道 结合 成 一 个 单个 的 信道 ， 该 信道 以 一 个 单个 的 更 
高 带宽 的 逻辑 链 路 出 现 。 链 路 聚合 一 般 用 来 连接 一 个 或 多 个 带宽 需求 大 的 设备 ， 例 如 连 
接骨 干 网 络 的 服务 器 或 服务 器 群 。 

如 果 聚 合 的 每 个 链 路 都 遵循 不 同 的 物理 路 径 ， 则 聚合 链 路 也 提供 元 余 和 容错 。 通 过 
聚合 调制 解 调 器 链 路 或 者 数字 线路 ， 链 路 聚合 可 用 于 改善 对 公共 网 络 的 访问 。 链 路 聚合 
也 可 用 于 企业 网 络 ， 以 便 在 吉 比 特 以 太 网 交换 机 之 间 构 建 多 吉 比 特 的 主干 链 路 。 

如 图 2-50 所 示 ， 采 用 链 路 聚合 后 ， 逻 辑 链 路 的 带宽 增加 了 大 约 〈z-1) 倍 ，7 为 聚 
合 的 路 数 。 另 外 ， 聚 合 后 ， 可 靠 性 大 大 提高 ， 因 为 ”条 链 路 中 只 要 有 一 条 可 以 正常 工作 ， 
则 这 个 链 路 就 可 以 工作 。 除 此 之 外 ， 链 路 聚合 可 以 实现 负载 均衡 ， 通 过 链 路 聚合 连接 在 
一 起 的 两 个 (或 多 个 ) 交换 机 (或 其 他 网 络 设备 )， 通过 内 部 控制 ， 也 可 以 合理 地 将 数据 
分 配 在 被 聚合 连接 的 设备 上 ， 实 现 负载 分 担 。 


总 带宽 = 单条 链 路 带宽 X (聚合 链 路 数 -1 


一 -一 一 
so 


es 


图 2-50 链 路 聚合 示意 图 


2. 宛 余 网 关 

对 于 由 多 个 VLAN 构成 的 局 域 网 络 来 说 ， 每 个 VLAN 的 网 关 设 备 多 是 由 核心 交换 
机 来 承担 ,一旦 核心 交换 机 出 现 故 障 ， 则 多 个 VLAN 的 网 关 都 将 出 现 问题 ， 这 些 VLAN 
之 间 的 通信 将 处 于 中 断 状态 。 为 了 避免 这 种 情况 的 发 生 ， 大 多 数 核 心 交换 机 都 会 提供 元 
余 网 关 协 议 , 使 得 网 络 中 至 少 两 台 交 换 机 成 为 各 个 VLAN 的 网 关 ， 避免 网 关 的 单 点 故障 
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效应 。 
常见 的 元 余 网 关 协 议 包括 通用 的 虚拟 路 由 器 元 余 协议 (Virtual Router Redundancy 
Protocol, VRRP) 和 由 Cisco 公司 提供 的 热 备份 路 由 器 协议 (Hot Standby Router Protocol， 
HSRP) 与 网 关 负 和 载 均衡 协议 (Gateway Load Balancing Protocol，GLBP)。 
1) VRRP 
虚拟 路 由 器 元 余 协 议 (VRRP) 是 一 种 选择 协议 ， 它 可 以 把 一 个 虚拟 路 由 器 的 责任 
动态 分 配 到 局 域 网 上 的 VRRP 路 由 器 组 中 的 一 台 。 控 制 虚拟 路 由 器 PP 地 址 的 VRRP 路 
由 器 称 为 主 路 由 器 ， 它 负责 转发 数据 包 到 这 些 虚 拟 IP 地 址 。 一 旦 主 路 由 器 不 可 用 ， 这 
种 选择 过 程 就 提供 了 动态 的 故障 转移 机 制 , 这 就 允许 虚拟 路 由 器 的 人 P 地 址 可 以 作为 终端 
主机 的 默认 第 一 跳 路 由 器 。 使 用 VRRP 的 好 处 是 有 更 高 的 默认 路 径 的 可 用 性 而 无 须 在 
每 个 终端 主机 上 配置 动态 路 由 或 路 由 发 现 协议 。 
图 2-51 为 VRRP 协议 的 应 用 方式 , VRRP 将 局 域 网 的 一 组 路 由 器 (包括 一 个 Master 
即 活动 路 由 器 和 若干 个 Backup 即 备份 路 由 器 ) 组织 成 一 个 虚拟 路 由 器 ， 称 为 一 个 备份 
组 。 这 个 虚拟 的 路 由 器 拥有 自己 的 I 了 P 地 址 202.114.64.1， 备 份 组 内 的 路 由 器 也 有 自己 的 
IP 地 址 (如 Master 的 卫 地 址 为 202.114.64.2，Backup 的 IP 地 址 为 202.114.64.3)。 局 
域 网 内 的 主机 仅仅 知道 这 个 虚拟 路 由 器 的 人 P 地 址 202.114.64.1， 而 并 不 知道 具体 的 
Master 路 由 器 的 IP 地 址 202.114.64.2 以 及 Backup 路 由 器 的 IP 地 址 202.114.64.3。 如 
果 备 份 组 内 的 Master 路 由 器 坏 掉 ，Backup 路 由 器 将 会 通过 选择 策略 选 出 一 个 新 的 
Master 路 由 器 ,继续 向 网 络 内 的 主机 提供 路 由 服务 。 从 而 实现 网 络 内 的 主机 不 间断 地 与 
外 部 网 络 进行 通信 。 
VRRP 协议 最 大 的 缺点 在 于 只 有 主 用 路 由 设备 处 于 活跃 状态 ， 而 其 他 路 由 器 都 处 于 
热 备 状态 , 导致 备用 路 由 器 闲置 .为 弥补 这 个 缺陷 , 在 实际 应 用 中 , 可 以 对 于 不 同 的 VLAN 
指定 不 同 的 主 用 和 备用 路 由 器 ， 从 而 让 所 有 路 由 器 都 发 挥 作用 。 
2) HSRP 
热 备 份 路 由 协议 〈HSRP) 是 Cisco 公司 独 有 的 技术 ， 为 PP 网 络 提供 了 容错 和 增强 
的 路 由 选择 功能 , 通过 使 用 同一 个 虚拟 人 P 地 址 和 虚拟 MAC 地 址 , LAN 网 段 上 的 两 台 或 
者 多 台 路 由 器 可 以 作为 一 台 “ 虚 拟 ” 路 由 器 而 对 外 提供 服务 。LAN 网 段 上 的 主机 都 配置 
使 用 同一 个 虚拟 路 由 器 作为 默认 网 关 ， 并 不 断 将 全 包 发 往 同一 个 全 和 MAC 地 址 。 
HSRP 中 的 路 由 器 组 中 存在 多 种 角色 , 一 个 HSRP 路 由 器 组 中 最 少 需要 两 台 路 由 器 。 
。 活跃 路 由 器 : 转发 发 送 到 虚拟 路 由 器 的 数据 包 ， 通 过 发 送 Hello 消息 来 承担 和 保 
持 活 跃 的 角色 。 

。 备份 路 由 器 : 监视 HSRP 组 的 运行 状态 ， 当 活跃 路 由 器 不 运行 时 ， 承 担 转发 数据 
包 的 责任 ; 传输 Hello 消息 ， 告 知 组 中 所 有 路 由 器 备份 路 由 器 的 角色 和 状态 。 

。 虚拟 路 由 器 : 最 终 代 表 一 台 可 以 连续 工作 的 路 由 器 ， 由 虚拟 的 卫 地 址 和 MAC 地 
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址 组 成 ， 但 并 不 实际 转发 数据 包 。 


主要 三 层 交换 机 
VLAN 1 地 址 
为 202.114.64.2 


备用 三 层 交 换 机 
VLAN 1 地 址 
为 202.114.64.3 


各 服务 器 默认 网 关 地 址 =202.114.64.1 
So 服务 器 VLAN, VLAN ID=1! 


图 2-51 VRRP 应 用 示意 图 


。 HSRP 组 路 由 器 : 监视 Hello 消息 ， 但 不 应 答 ， 转 发 经 由 它们 的 数据 包 ， 但 不 转 
发 经 虚拟 路 由 器 的 数据 包 。 

HSRP 的 使 用 方法 和 VRRP 类似， 同时 也 存在 着 路 由 器 闲置 的 问题 ， 不 能 实现 负载 
分 担 ， 但 是 可 以 通过 形成 多 个 不 同 的 虚拟 路 由 器 的 方式 ， 实 现 负 载 分 担 。 

3) GLBP 

GLBP 协议 是 Cisco 公司 提出 的 一 种 元 余 网 关 协 议 ， 与 VRRP 和 HSRP 类 似 ， 但 是 
可 以 实现 负载 均衡 。 

GLBP 实现 负载 均衡 的 方式 是 通过 在 多 个 路 由 器 使 用 一 个 虚拟 的 卫 地 址 和 多 个 虚拟 
的 MAC 地 址 来 实现 负载 均衡 ， 主 机 的 默认 网 关 配 置 相 同 的 卫 地 址 ， 在 虚拟 路 由 器 组 里 
所 有 的 路 由 器 参与 数据 转发 。 

GLBP 组 的 成 员 会 选举 出 一 台 路 由 器 作为 活动 的 虚拟 网 关 CAVG), 组 中 的 其 他 成 员 
在 AVG 有 效 的 情况 下 提供 对 AVG 的 备份 ; AVG 对 GLBP 组 中 的 每 一 个 成 员 分 配 一 个 不 
同 的 虚拟 MAC 地 址 , 并 且 通 过 对 虚拟 人 P 地 址 的 ARP 响应 将 不 同 的 MAC 地 址 通知 给 不 
同 的 访问 计算 机 。 每 一 个 网 关 都 根据 其 分 配 的 MAC 地 址 承担 数据 转发 任务 ， 因 此 被 称 
为 活动 虚拟 转发 器 (AVF)。 

虽然 GLBP 技术 出 现 较 晚 , 但 是 由 于 其 负载 均衡 的 特性 ,已 经 开始 逐步 取代 VRRP、 
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HSRP 技术 。 

3. 以 太 网 供电 

以 太 网 供电 (Powder over Ethemet, POE) 技术 是 通过 以 太 网 线路 为 人 P 电话 WLAN 
接 入 点 、 网 络 摄像 机 等 小 型 网 络 设备 直接 提供 电源 的 技术 。 该 技术 可 以 避免 大 量 的 独立 
铺设 电力 线 ， 以 简化 系统 布线 ， 降 低 网 络 基础 设施 的 建设 成 本 。 

POE 技术 是 通过 4 对 双 绞 线 中 空闲 的 2 对 来 传输 电力 的 , 可 以 输出 44 一 57V 的 直流 
电压 、350 一 400mA 的 直流 电流 ， 为 一 般 功 耗 在 15.4W 以 下 的 设备 提供 以 太 网 供电 ; 该 
技术 可 以 在 现 有 的 以 太 网 5 类 布线 基础 架构 不 作 任何 改动 的 情况 下 , 为 一 些 基 于 IP 的 终 
端 〈 如 瑟 电话 机 、 无 线 局 域 网 接 入 点 AP、 网 络 摄像 机 等 ) 传输 数据 信号 的 同时 ， 还 能 
为 此 类 设备 提供 直流 供电 。 

POE 技术 能 在 确保 现 有 结构 化 布线 安全 的 同时 保证 现 有 网 络 的 正常 运作 ,最 大 限度 
地 降低 成 本 。 一 个 典型 的 以 太 网 供电 系统 如 图 2-52 所 示 。 在 配 线 柜 里 保留 以 太 网 交换 机 
设备 ， 用 一 个 带电 源 供电 的 集线器 (Midspan HUB) 给 局 域 网 的 双 绞 线 提供 电源 (也 可 
以 是 大 型 交换 机 中 的 一 个 POE 模块 ); 在 双 绞 线 的 末端 ， 该 电源 用 来 驱动 电话 、 无 线 接 
入 点 、 相 机 和 其 他 设备 ， 为 避免 断 电 ， 可 以 选用 一 个 UPS。 


以 太 网 交换 机 


以 太 网 供电 的 
Midspan HUB 


AS 《7 
dd 
IP 电 话 网 络 摄像 机 


无 线 AP 
图 2-52 典型 的 以 太 网 供电 系统 


4. 多 业务 模块 

多 业务 模块 功能 ， 是 指 交换 机 生产 厂商 提供 统一 的 业务 模块 接口 ， 并 提供 特殊 的 业 
务 功能 开发 包 ， 由 各 业务 功能 设备 提供 商 将 产品 封装 成 统一 的 交换 机 业务 模块 ， 使 得 业 
务 服务 可 以 直接 从 交换 机 框架 上 获取 供电 、 网 络 数据 ， 经 业务 处 理 后 再 发 送 至 交换 机 框 
架 上 。 
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目前 ， 常 见 的 网 络 业务 模块 包括 防火 墙 〈firewall)、 入 侵 者 检测 (IDS)、 入 侵 者 防 
御 〈IPS)、 流 量 控制 (FC) 等 ， 这 些 业务 模块 相对 于 独立 的 业务 产品 将 提供 更 强 的 业务 
处 理 能 力 。 


2.5.4.7 ”服务 器 元 余 和 负载 均衡 


为 了 提高 服务 器 的 性 能 和 工作 负载 能 力 ， 企 业 通 常会 使 用 DNS 服务 器 、 网 络 地 址 
转换 等 技术 来 实现 多 服务 器 负载 均衡 ， 特 别 是 对 外 服务 的 Web 网 站 , 许多 都 是 通过 几 台 
服务 器 来 完成 服务 器 访问 的 负载 均衡 。 一 般 来 说 ， 实 现 服 务 器 的 元 余 和 负载 均衡 有 多 种 
方式 

1. 使 用 负载 服务 均衡 器 

负载 服务 均衡 器 实际 上 是 应 用 系统 的 一 种 控制 服务 器 ， 所 有 用 户 的 请 求 都 首先 到 此 
服务 器 ， 然 后 由 此 服务 器 根据 各 个 实际 处 理 服务 器 状态 将 请 求 具体 分 配 到 某 个 实际 处 理 
服务 器 中 ， 对 外 公开 的 域名 与 卫 地 址 都 是 负载 服务 均衡 器 的 域名 或 卫 地 址 。 

负载 服务 均衡 器 上 需要 安装 负载 均衡 控制 与 管理 软件 ， 这 人 台 服 务 器 一 般 只 做 负载 均 
衡 任务 分 配 ， 但 不 是 实际 对 网 络 请 求 进行 处 理 的 服务 器 。 

负载 服务 均衡 器 为 了 将 负载 均匀 地 分 配给 内 部 的 多 个 服务 器 ， 就 需要 应 用 一 定 的 负 
载 均衡 策略 ， 例 如 基于 CPU 繁忙 程度 或 内 存 占用 程度 等 。 对 于 常见 的 Web 服务 ， 可 以 
借助 于 负载 服务 均衡 器 让 多 台 服 务 器 设备 提供 服务 ; 每 台 服 务 器 的 状态 可 以 设 为 regular 
(正常 工作 ) 或 backup〈 备 份 状态 )， 或 者 同时 设 定 为 regular 状态 ; 负载 服务 均衡 器 根据 
设 定好 的 负载 均衡 策略 来 将 用 户 请 求 重 定向 到 不 同 的 服务 器 。 

通过 负载 服务 均衡 器 不 仅 可 以 实现 各 服务 器 群 的 流量 动态 负载 均衡 ， 并 互 为 元 余 备 
份 ， 同 时 还 具有 一 定 的 扩展 性 ， 可 不 断 添加 新 的 服务 器 到 负载 均衡 系统 。 

2. 使 用 网 络 地 址 转换 

支持 负载 均衡 的 地 址 转换 网 关 可 以 将 一 个 外 部 人 P 地 址 映射 为 多 个 内 部 IP 地 址 ， 对 
每 次 TCP 连接 请 求 动态 使 用 其 中 一 个 内 部 地 址 ， 以 达到 负载 均衡 的 目的 。 地 址 转换 网 关 
存在 软件 实现 和 硬件 实现 两 种 方式 。 

硬件 实现 方式 指 硬件 厂商 将 这 种 技术 集成 在 交换 机 中 ， 作 为 第 四 层 交 换 的 一 种 功 
能 ; 一 般 采 用 随机 选择 、 根 据 服务 器 的 连接 数量 或 者 响应 时 间 进行 选择 的 负载 均衡 策略 
来 分 配 负载 ， 但 硬件 实现 方式 的 灵活 性 不 强 ， 不 能 支持 更 优化 的 负载 均衡 策略 和 更 复杂 
的 应 用 协议 。 

软件 实现 方式 指 在 服务 器 上 安装 负载 均衡 的 地 址 转换 网 关 ， 可 以 对 各 服务 器 的 
CPU、 磁 盘 IO 或 网 络 IO 等 多 种 资源 进行 实时 监控 ， 并 根据 各 种 策略 来 转发 客户 对 服 
务 器 的 请 求 ， 因 此 具有 较 大 的 灵活 性 。 

3. 使 用 DNS 服务 器 

使 用 DNS 服务 器 来 提供 负载 均衡 是 一 种 较为 简单 的 方法 ， 提 供 服务 的 多 个 服务 器 
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独立 运行 ， 并 拥有 独立 的 IP 地 址 ， 形 成 了 一 个 可 以 提供 服务 的 IP 地 址 组 ;网 络 管理 员 
在 DNS 服务 器 上 进行 注册 ， 使 得 所 有 这 些 服务 器 的 人 P 地 址 都 拥有 一 个 相同 的 域名 ， 并 
对 外 只 公布 这 个 域名 ; 当 客 户 提交 服务 请 求 前 ， 需 要 进行 域名 解析 ，DNS 服务 器 会 针对 
这 个 域名 的 解析 循环 用 人 P 地 址 组 中 的 人 P 地 址 来 应 答 , 使 得 每 次 客户 访问 的 服务 器 他 地 
址 都 不 同 ， 从 而 达到 负载 均衡 。 

使 用 DNS 是 一 种 简单 的 负载 均衡 方式 ， 不 可 能 根据 各 服务 器 的 负载 情况 而 动态 调 
整 DNS 的 解析 ， 甚 至 服务 器 组 中 的 一 台 服 务 器 出 现 故 障 而 不 能 提供 服务 时 ，DNS 仍 不 
会 将 该 服务 器 的 PP 地 址 从 循环 解析 列表 中 清除 ， 导 致 一 部 分 请 求 失效 。 

4. 高 可 用 性 技术 

双 机 热 备份 高 可 用 (High Availability，HA) 系统 ， 又 称 为 高 可 用 性 集群 ， 一 般 由 两 
台 服 务 器 构成 ， 通 过 对 关键 部 件 的 元 余 设 计 ， 可 以 保证 系统 硬件 具有 很 高 的 可 用 性 ， 对 
于 一 般 非 关键 应 用 场合 ， 其 硬件 系统 的 可 用 性 可 以 达到 99.99%。 在 正常 工作 时 ， 两 台 服 
务 器 同时 工作 或 一 台 工作 另 一 台 热 备 ， 通过 以 太 网 和 RS232 口 互 相 进行 监测 ， 并 不 断 完 
成 同步 操作 ， 数 据 保存 在 共享 磁盘 阵列 中 。 

传统 的 高 可 用 性 集群 的 工作 模式 主要 是 单 活 (active/passive)、 双 活 (active/active)。 

1) 单 活 

单 活 指 服 务 器 集群 中 ， 一 台 服 务 器 处 于 活跃 状态 ， 对 外 提供 服务 ， 另 外 一 台 为 热 备 
方式 ， 通 过 网 卡 和 串 行 线路 监控 活跃 服务 器 并 实现 数据 同步 ， 一 旦 发 现 活跃 服务 器 出 现 
故障 ， 则 通过 IP 地 址 漂移 等 技术 接管 服务 ， 如 图 2-53 所 示 。 

2) 双 活 

双 活 指 服务 器 集群 中 ， 两 台 服 务 器 都 处 于 活跃 状态 ， 并 同时 提供 服务 ， 相 互 之 间 通 
过 卡 和 串 行 线路 监控 并 实现 数据 同步 ， 一 旦 一 台 服 务 器 出 现 故障 ， 则 另外 一 台 服务 器 接 
管 所 有 的 服务 负载 ， 如 图 2-54 所 示 。 


服务 器 A 服务 器 B 


运行 中 待机 中 


图 2-53 单 活 模式 图 2-54” 双 活 模式 


高 可 用 性 服务 集群 主要 应 用 于 数据 库 服务 器 和 各 种 应 用 服务 器 ， 这 些 服务 器 之 间 通 
过 串 行 线路 或 者 网 络 线 路 的 心跳 线 来 实现 服务 器 监控 和 数据 同步 ， 并 且 所 有 服务 器 都 通 
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过 光纤 通道 连接 至 磁盘 阵列 ， 实 现 高 速 的 磁盘 访问 。 

服务 器 操作 系统 一 级 的 高 可 用 性 集群 主要 借助 于 操作 系统 提供 的 集群 软件 来 实现 ， 
可 以 采用 单 活 或 者 双 活 方式 。 

数据 库 应 用 一 级 的 高 可 用 性 集群 ， 主 要 借助 于 数据 库 管 理 系统 软件 提供 的 应 用 集群 
软件 实现 ， 常 用 的 数据 管理 系统 产品 中 ，SQL Server 主要 采用 单 活 模式 ，Oracle 主要 采 
用 双 活 模式 。 

各 类 应 用 服务 软件 一 级 的 高 可 用 和 集群， 主要 借助 于 应 用 软件 提供 的 集群 软件 实现 。 


2.5.5 广域网 技术 选择 与 应 用 


2.5.5.1 ” 城 域 网 远程 接 入 技术 


随 着 网 络 ， 尤 其 是 企业 网 络 规模 的 不 断 发 展 ， 网 络 用 户 的 流动 性 和 地 域 分 散 特性 不 
断 增 加 。 远 程 企 业 用 户 需要 借助 于 特殊 的 接 入 方式 实现 对 企业 网 络 的 访问 ， 而 城市 的 网 
络 用 户 也 需要 借助 于 同样 的 技术 来 实现 对 互联 网 络 的 访问 ， 因 此 这 些 特 殊 的 技术 主要 应 
用 于 城 域 网 络 ， 可 以 被 称 为 “ 城 域 网 远程 接 入 技术 ”。 

1. 传统 的 PSTN 接 入 技术 

PSTN 接 入 技术 是 较为 经 典 的 远程 连接 技术 ， 通 过 在 客户 计算 机 和 远程 的 拨号 服务 
器 之 间 分 别 安装 调制 解 调 器 ， 实 现 数字 信号 在 模拟 语音 信道 上 的 调制 ， 通 过 公用 电话 网 
(PSTN) 完成 数据 传输 。 

PSTN 接 入 的 传输 速率 较 低 ,目前 常见 的 速率 是 33.6Kbps 或 者 56Kbps; 其 中 33.6Kbps 
双向 传输 速率 相同 , 而 56Kbps 的 双向 传输 速率 不 均衡 , 上 行为 33.6Kbps, 下 行为 56Kbps; 
同时 ，PSTN 的 接 入 速率 还 要 受 调制 解 调 器 性 能 和 电话 线路 质量 的 影响 。 

PSTN 接 入 技术 主要 使 用 两 种 协议 ， 分 别 为 PPP 和 SLIP， 其 中 SLIP 只 能 为 TCP/IP 
协议 提供 传输 通道 , 而 PPP 可 以 为 多 种 网 络 协议 族 提供 传输 通道 ， 因 此 PPP 协议 也 是 应 
用 最 广 的 协议 。 

设计 PPP 协议 时 需要 考虑 到 口令 认证 机 制 ，PPP 协议 支持 两 种 类 型 的 认证 机 制 ， 分 
别 为 口令 认证 协议 (PAP) 和 应 答 握手 认证 协议 〈CHAP)。 其 中 ，PAP 协议 在 进行 认证 
时 ， 用 户 的 口令 以 明文 方式 进行 传递 ， 而 CHAP 则 利用 三 次 握手 和 一 个 临时 产生 的 可 变 
应 答 值 来 验证 远程 节点 ， 因 此 在 实际 应 用 中 ， 应 尽量 使 用 CHAP 作为 PPP 协议 的 认证 
机 制 。 

在 设计 PSTN 接 入 时 ， 需 要 在 网 络 中 添加 远程 访问 服务 器 (RAS)， 通 常 都 是 带 有 
拨号 服务 功能 的 路 由 器 ; 这 些 路 由 器 可 以 配置 内 置 Modem 的 拨号 模块 ， 也 可 以 通过 
普通 模块 连接 外 置 Modem 池 实 现 , RAS 除了 可 以 在 自身 存储 静态 的 用 户 名 和 密码 之 外 ， 
还 可 以 借助 于 RADIUS、TACACS 等 服务 完成 对 动态 用 户 与 口令 库 的 访问 ， 如 图 2-55 
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Radois| 服 务 器 
以 太 网 络 线路 
拨号 路 由 器 框架 
加 > 内 置 Modem 模 块 a 


一 一 > 内 置 Modem 模 块 
内 部 网 交换 机 


AN 


SS 
s 外 置 Modem 


S E : 一 一 外 壮 Modem 池 


外 置 Modem 


电话 线路 


2-55 PSTN 接 入 


2. 综合 业务 数据 网 

综合 业务 数据 网 (ISDN) 是 由 地 区 电话 服务 提供 商 提供 的 数字 数据 传输 业务 ,支持 
在 电话 线 上 传输 文本 、 图 像 、 视 频 、 音 乐 、 语 音 和 其 他 的 媒体 数据 ，ISDN 上 使 用 PPP 
协议 ， 以 实现 数据 封装 、 链 路 控制 、 口 令 认 证 、 协 议 加 载 等 功能 。 

ISDN 提供 的 电路 包括 64Kbps 的 承载 用 户 信息 信道 〈B 信道 ) 和 承载 控制 信息 信道 
(D 信道 )， 同 时 ISDN 提供 了 两 种 用 户 接口 ， 分 别 为 基本 速率 接口 和 基 群 速率 接口 。 

。 基本 速率 接口 (Basic Rate Interface，BRI) 一 一 包含 两 个 B 信道 和 一 个 16Kbps 

的 D 信道 。 
。 基 群 速率 接口 (Primary Rate Interface, PRI) 一 一 包含 30 个 B 信道 和 一 个 64Kbps 
的 D 信道 。 

基本 速率 接口 主要 用 于 个 人 用 户 的 远程 接 入 ， 而 基 群 速率 接口 主要 用 于 企业 或 者 团 
体 的 接 入 ， 如 图 2-56 所 示 。 个 人 接 入 中 ， 通 过 运营 商 端 ISDN 交换 机 提供 的 接口 ， 实 现 
计算 机 信号 和 语音 信号 的 分 离 ， 计 算 机 信号 通过 PRI 接口 经 路 由 器 进入 网 络 ; 在 企业 接 
入 中 ， 两 端的 路 由 器 通过 带 有 PRI 接口 的 路 由 器 互 连 ， 完 成 了 两 个 网 络 的 连接 。 

3. 电缆 调制 解 调 器 远程 接 入 

电缆 调制 解 调 器 运行 在 有 线 电视 (CATV) 使 用 的 铜 轴 电缆 上 ， 可 以 提供 比 传统 电 
话 线 更 高 的 传输 速率 ， 典 型 的 电缆 网 络 系统 提供 25 一 50Mbps 的 下 行 带宽 和 2 一 3Mbps 
的 上 行 带宽 ， 同 时 电缆 调制 解 调 器 的 另 一 个 优势 是 不 需要 拨号 就 能 实现 远程 站 点 访问 。 

电缆 调制 解 调 器 需要 对 传统 的 单 向 CATV 网 络 进行 双向 改造 形成 数字 电缆 业务 网 
络 ， 可 以 采用 双 线 方式 (一 根 上 行 、 一 根 下 行 ) 和 单 缆 方式 (高 频 下 行 、 低 频 上 行 )。 运 
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营 商 通常 采用 混合 光纤 / 铜 缆 (Hybrid FiberCoax，HFC) 系统 将 CATV 网 络 和 运营 商 
的 高 速 光纤 网 络 连 接 在 一 起 。HFC 系统 使 用 户 能 将 计算 机 或 者 小 型 局 域 网 连接 到 用 户 的 
铜 轴 电 缆 上 ， 高 速 地 访问 因特网 或 使 用 VPN 软件 接 入 到 企业 网 络 。 


Se Bp 


局 域 网 络 
内 置 PP 
二 AISDN 交 换 机 
PRI 局 域 网 络 


内 置 PRI 接口 
路 由 器 


图 2-56 ISDN 接 入 


使 用 电缆 调制 解 调 器 远程 接 入 必须 依赖 于 运营 商 一 端的 电缆 调制 解 调 器 终结 设备 
(CMTS)， 该 设备 向 大 量 的 电线 调制 解 调 器 提供 高 速 连接 : 多 数 运营 商都 会 借助 于 通用 
的 宽带 路 由 器 来 实现 CMTS 功能 ， 这 些 路 由 器 安装 在 运营 商 的 电缆 服务 头 端 ， 同 时 提供 
计算 机 网 络 和 PSTN 网 络 的 连接 。 

如 图 2-57 所 示 ，CMTS 的 以 太 口 可 以 直接 与 以 太 网 相连 ， 同 时 通过 中 继 线路 连接 
PSTN 网 络 ， 将 双向 的 网 络 和 语音 信号 调制 形成 上 行 和 下 行 的 模拟 信号 ， 单 向 的 有 线 电 
视 下 行 信号 以 频 分 复 用 合 入 下 行 信号 中 ; 在 HFC 区 域 中 , 借助 于 光 收 发 器 、 光 电 转换 器 
等 设备 完成 信号 的 中 继 和 传递 ， 通 常 光 纤 采 用 双 纤 而 电缆 采用 单 缆 ; 客户 端 采用 Cable 
Modem 相连 ， 并 分 解 出 有 线 电视 、 计 算 机 网 络 和 电话 信和 号。 

4. 数字 用 户 线路 远程 接 入 

数字 用 户 线路 (Digital Subscriber Line，DSL) 允许 用 户 在 传统 的 电话 线 上 提供 高 速 
的 数据 传输 ， 用 户 计算 机 借助 于 DSL 调制 解 调 器 连接 到 电话 线 上 ， 通 过 DSL 连接 访问 
互联 网 络 或 者 企业 网 络 。 

DSL 采用 尖端 的 数字 调制 技术 ， 可 以 提供 比 ISDN 快 得 多 的 速率 ， 其 实际 速率 取决 
于 DSL 的 业务 类 型 和 很 多 物理 层 因素 ， 例 如 电话 线 的 长 度 、 线 径 、 串 扰 和 噪音 等 。 

DSL 技术 存在 多 种 类 型 ， 常 见 的 技术 类 型 如 下 。 
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图 2-57 电缆 调制 解 调 器 远程 接 入 


ADSL: 非 对 称 DSL， 用 户 的 上 下 行 流量 不 对 称 ， 一 般 具 有 三 个 信道 ， 分 别 为 
1.544 一 9Mbps 的 高 速 下 行 信道 、16~640Kbps 的 双 工 信道 、64Kbps 的 语音 信道 。 
SDSL: 对 称 DSL， 用 户 的 上 下 行 流量 对 等 ， 最 高 可 以 达到 1.544Mbps。 

ISDN DSL: 介 于 ISDN 和 DSL 之 间 ， 可 以 提供 最 远 距离 为 4600 一 5500m 的 
128Kbps 双向 对 称 传输 。 

HDSL: 高 比特 率 DSL， 是 在 两 个 线 对 上 提供 1.544Mbps 或 在 三 个 线 对 上 提供 
2.048Mbps 对 称 通信 的 技术 ， 其 最 大 特点 是 可 以 运行 在 低 质 量 线路 上 ， 最 大 距离 
为 3700 一 4600m。 
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。 VDSL: 甚 高 比特 率 DSL,， 一 种 快速 非 对 称 DSL 业务 ， 可 以 在 一 对 电话 线 上 提供 
数据 和 语音 业务 。 

在 这 些 技术 中 ，ADSL 的 应 用 范围 最 广 ， 已 经 成 为 城 域 网 接 入 的 主要 技术 。 

ADSL 接 入 需要 的 设备 包括 接 入 设备 〈 局 端 设 备 DSLAM 和 用 户 端 设备 ATU-R)、 
用 户 线路 和 管理 服务 器 。 其 中 DSLAM 作为 ADSL 的 局 端 收发 传送 设备 ， 主 要 由 运营 商 
提供 ， 为 ADSL 用 户 端 提供 接 入 和 集中 复 用 功能 ， 同 时 提供 不 对 称 数 据 流 的 流量 控制 ， 
用 户 可 以 通过 DSLAM 接 入 到 IP 等 数据 网 和 传统 的 语音 电话 网 ;用 户 端 设备 ATU-R， 
实现 POTS 语音 与 数据 的 分 离 , 完成 用 户 端 ADSL 数据 的 接收 和 发 送 , 即 ADSL Modem:; 
ADSL 采用 双 绞 线 作为 承载 媒质 ， 语 音 与 数据 信号 同时 承载 在 双 绞 线 上 ， 无 须 对 现 有 的 
用 户 线路 进行 改造 ， 有 利于 宽带 业务 的 开拓 ; 管理 服务 器 主要 是 宽带 接 入 服务 器 
(BRAS)， 除 了 能 够 提供 ADSL 用 户 接 入 的 终结 、 认 证 、 计 费 、 管 理 等 基本 BRAS 业务 
还 可 以 提供 防火 墙 、 安 全 控制 、NAT 转换 、 带 宽 管理 、 流 量 控制 等 网 络 业 务 管理 功能 ， 
如 图 2-58 所 示 。 


计算 机 


图 2-58 ADSL 接 入 


在 选择 城 域 网 远程 接 入 技术 时 ， 主 要 是 依据 现 有 城 域 网 的 建设 情况 ， 并 适当 考虑 租 
用 经 费 ， 一 般 来 说 ， 城 域 网 的 远程 接 入 主要 是 由 电信 运营 商 提供 ， 设 计 人 员 需 要 根据 远 
程 用 户 的 分 布 、 用 户 是 否 需 要 形成 专用 网 络 、 运 营 商 的 线路 铺设 、 租 赁 费用 等 情况 ， 与 
电信 运营 商 技术 服务 人 员 进 行 协商 和 讨论 ， 形 成 最 终 接 入 方案 。 
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2.5.5.2 广域网 互 连 技术 


1. 数字 数据 网 络 

数字 数据 网 络 (Digital Data Network，DDN) 是 一 种 利用 数字 信道 提供 数据 信号 传 
输 的 数据 传输 网 ， 是 一 个 半 永 久 性 连接 电路 的 公共 数字 数据 传输 网 络 ， 为 用 户 是 供 了 一 
个 高 质量 、 高 带宽 的 数字 传输 通道 。 

DDN 采用 同步 时 分 复 用 ， 对 各 层 协议 透明 ， 因 此 DDN 支持 任何 的 传输 规程 ; DDN 
不 具备 交换 功能 ， 以 点 对 点 方式 实现 半 永 久 性 的 电路 连接 ， 传 输 延 时 小 : DDN 采用 数字 
信道 传输 数据 信号 ， 与 传输 的 模拟 信号 相 比 ， 具 有 传输 质量 高 、 速 度 快 、 带 宽 利用 率 高 
等 优点 ; DDN 的 传输 安全 可 靠 ， 由 于 采用 多 路 由 的 网 状 拓扑 结构 ， 单 个 节点 的 失效 不 会 
导致 整个 线路 的 中 断 。 

DDN 网 络 实行 分 级 管理 ， 其 网 络 结构 按 网 络 的 组 建 、 运 营 、 管 理 、 维 护 的 责任 地 理 
区 域 ， 可 以 分 为 一 级 干线 网 、 二 级 干线 网 和 本 地 网 三 级 。 一 级 干线 网 由 设置 在 各 省 、 自 
治 区 和 直辖 市 的 节点 组 成 ， 二 级 干线 网 由 设置 在 省 内 的 节点 组 成 ， 本 地 网 是 指 城市 范围 
内 的 网 络 ， 由 这 些 网 络 提供 全 国 范围 内 的 电路 连接 服务 。 

利用 DDN 网 络 实现 局 域 网 互联 时 , 必须 借助 于 路 由 器 和 DDN 网 络 提供 的 数据 终端 
设备 DTU; DTU 其 实 是 DDN 专线 的 调制 解 调 器 ， 直 接 和 DDN 网 络 通过 专线 连接 ， 如 
2-59 所 示 。 


DTU DDN 客户 端 DDN 客户 端 DTU 
接线 箱 一 一 接线 箱 


图 2-59 利用 DDN 实现 局 域 网 互联 


DDN 网 络 可 以 为 两 个 终端 用 户 网 络 之 间 提 供 带 宽 最 低 为 9.6Kbps， 最 高 为 2Mbps 
的 数据 业务 ， 虽 然 面临 各 种 新 型 传输 技术 的 挑战 ， 但 由 于 DDN 可 以 为 任何 信号 和 传输 
协议 提供 透明 传递 ， 迄 今 为 止 DDN 仍 在 广域网 互联 技术 应 用 中 占据 一 席 之 地 。 

2. SDH 

SDH (Synchronous Digital Hierarchy， 同 步 数字 体系 ) 是 一 种 将 复 接 、 线 路 传输 及 
交换 功能 融 为 一 体 ， 并 由 统一 网 管 系统 操作 的 综合 信息 传送 网 络 ， 前 身 是 美国 贝尔 通信 
技术 研究 所 提出 来 的 同步 光 网 络 (SONET)。SDH 可 实现 网 络 有 效 管理 、 实 时 业务 监控 、 
动态 网 络 维护 、 不 同 厂 商 设备 间 的 互通 等 多 项 功能 ， 能 大 大 提高 网 络 资源 利用 率 、 降 低 
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管理 及 维护 费用 、 实 现 灵活 可 靠 和 高 效 的 网 络 运行 与 维护 ， 因 此 也 是 当前 最 主要 的 运营 
商 基 础 设施 网 络 。 

SDH 网 络 是 基于 光纤 的 同步 数字 传输 网 络 ， 采 用 分 组 交换 和 时 分 复 用 CTDM) 技 
术 ， 主 要 由 光纤 和 挂 接 在 光纤 上 的 分 揪 复 用 器 (ADMD)、 数 字 交 叉 连 接 (DXC)、 光 用 户 
环 路 载波 系统 (OLC) 构成 网 络 的 主体 ， 整 个 网 络 中 的 设备 由 高 准确 度 的 主 时 钟 统一 控 
制 。SDH 网 络 基本 的 运行 载体 是 双向 运行 的 光纤 环 路 ， 可 根据 需要 采用 单 环 、 双 环 或 者 
多 环 结构 ，SDH 支持 多 种 网 络 拓扑 结构 ， 组 网 方式 非常 灵活 ， 如 图 2-60 所 示 。 


干线 网 


图 2-60 SDH 网络 结构 


SDH 采用 的 信息 结构 等 级 称 为 同步 传送 模块 STM-N (Synchronous Transport，N=1， 
4，16，64)， 最 基本 的 模块 为 STM-1，4 个 STM-1 同步 复 用 构成 STM-4，16 个 STM-1 
或 4 个 STM-4 同步 复 用 构成 STM-16; STM-1 的 传输 速率 为 155.520Mbps, 而 STM-4 的 
传输 速率 为 4 X 155.520=622.080Mbps ， STM-16 的 传输 速率 为 16 X 155.520= 
2488.320Mbps， 并 依 此 类 推 ， SDH 同时 也 可 以 提供 E1、E3 等 传统 传输 速率 服务 。 

SDH 是 主要 的 广域网 互联 技术 ， 利 用 运营 商 的 SDH 网 络 实现 互联 ， 可 以 采用 两 种 
方式 ， 分 别 是 IP over SDH 和 PDH 兼容 方式 。 

IP over SDH: 以 SDH 网 络 作为 卫 数 据 网 络 的 物理 传输 网 络 ， 并 使 用 链 路 适 配 及 成 
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帧 协议 (PPP) 对 卫 数据 包 进 行 封装 ， 然 后 按 字 节 同 步 的 方式 把 封装 后 的 人 P 数据 包 映 
射 到 SDH 的 同步 净 荷 封装 中 进行 连续 传输 。IP over SDH 为 IP 网 络 设备 提供 的 接口 主 
要 是 POS (Packet Over SONET/SDH) 接口 ， 该 接口 可 以 提供 STM-1 及 其 以 上 的 传输 

准 同步 数字 系列 (Plesiochronous Digital Hierarchy，PDH) 兼容 方式 : 由 于 单纯 的 
SDH 网 络 只 能 提供 STM-1 以 上 的 传输 速率 ， 而 大 多 数 用 户 并 不 需要 这 么 高 的 数据 传输 
速率 ， 因 此 SDH 提供 了 对 传统 PDH 的 兼容 方式 ， 这 种 方式 在 SDH 中 的 最 低速 率 同步 
传输 模块 STM-1 中 封装 了 63 个 El 信道 , 可 以 最 多 同时 向 63 个 用 户 提供 2Mbps 的 接 入 
速率 ,PDH 兼容 方式 可 以 提供 两 种 方式 的 接口 ;一 是 传统 El 接口 ,例如 路 由 器 上 的 G703 
转 V35 接口 ; 另外 是 封装 了 多 个 El 信道 的 CPOS (Channel POS), 路 由 器 通过 一 个 CPOS 
接口 接 入 SDH 网 络 ， 并 通过 封装 的 El 信道 连接 多 个 远程 站 点 。 

以 上 借助 于 SDH 网 络 实现 局 域 网 络 互联 的 各 种 方式 如 图 2-61 所 示 。 


POS POS 


模块 | 模块 
Ce 本 “um Coun 
路 由 器 Oo 路 由 器 


A 
Ce" 
“的 SN 
CPOS 接 口 方式 AN 


2-61 利用 SDH 网 络 实现 局 域 网 互联 


无 论 是 人 Pover SDH 方式 还 是 PDH 兼容 方式 , 运营 商都 可 以 将 线路 转换 成 以 太 网 络 
链 路 ， 以 便于 向 用 户 提供 应 用 更 为 普遍 、 成 本 更 加 低廉 的 以 太 网 络 接口 ， 其 中 较为 常见 
的 是 将 多 条 El 信道 转换 成 为 以 太 网 ,例如 两 个 局 域 网 络 之 间 通 过 4 条 El 信道 互联 ， 客 
户 端的 光端机 或 者 转换 设备 将 4 条 El 信道 转换 成 十 兆 的 以 太 网 线路 ， 如 图 2-62 所 示 。 

3. MSTP 

由 于 具有 可 靠 的 业务 保护 能 力 ，SDH 技术 已 经 成 为 城 域 传输 网 的 一 种 经 典 选择 , 但 
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是 SDH 也 存在 包括 带宽 瓶颈 、 多 层 网 络 结构 指 配 过 于 复杂 以 及 支持 业务 单一 等 诸多 问 
题 ， 尤 其 是 对 可 变速 率 业 务 的 支持 方面 ; 对 于 固定 速率 的 业务 〈 如 传统 话音 业务 )，SDH 
很 容易 将 其 适 配 到 固定 容量 通道 中 ， 但 对 于 可 变速 率 VBR 业务 和 任意 速率 业务 ，SDH 
则 显得 不 够 灵活 ， 特 别 是 传送 效率 不 高 ; 欧洲 、 东 亚 及 印度 的 一 些 运营 商 已 经 在 新 建 网 
络 〈 特 别 是 城 域 网 ) 中 完全 据 弃 SDH 技术 体系 ; 但 是 目前 国内 的 SDH 网 络 已 经 庞大 得 
让 传统 的 电信 运营 商 无 法 从 容 、 坦 然 地 弃 之 而 去 ， 因 此 被 称 为 下 一 代 SDH 的 MSTP 应 


运 而 生 。 
一 一 一 一 > 
TR 
a 
OLC 光端机 路 由 器 
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图 2-62 SDH 与 以 太 网 转换 


基于 SDH 的 多 业务 传送 平台 (MSTP) 是 指 基于 SDH 平台 同时 实现 TDM、ATM、 
以 太 网 等 业务 的 接 入 、 处 理 和 传送 ， 提 供 统一 网 管 的 多 业务 节点 。 基 于 SDH 的 多 业务 
传送 节点 除 应 具有 标准 SDH 传送 节点 所 具有 的 功能 外 ， 还 具有 以 下 主要 功能 特征 : 

。 具有 TDM 业务 、ATM 业务 或 以 太 网 业务 的 接 入 功能 。 

。 具有 TDM 业务 、ATM 业务 或 以 太 网 业务 的 传送 功能 包 插 点 到 点 的 透明 传送 功能 。 

。 具有 ATM 业务 或 以 太 网 业务 的 带宽 统计 复 用 功能 。 

。 具有 ATM 业务 或 以 太 网 业务 映射 到 SDH 虚 容 器 的 指 配 功能 。 

MSTP 在 网 络 互联 领域 主要 用 于 企业 用 户 网 络 建设 和 用 户 接 入 补充 ， 其 中 企业 用 户 
网 络 建设 直接 体现 了 MSTP 多 种 业务 接 入 、 点 到 多 点 的 透明 传送 功能 。 企 业 客户 网 络 数 
量 较 多 ， 地 点 分 布 零 散 ， 业 务 需求 各 不 相同 ， 如 果 把 所 有 企业 专 网 纳入 统一 的 SDH 传 
输 平 台 ， 则 投资 成 本 过 高 。 可 针对 企业 网 络 业 务 的 种 类 、 数 量 并 考虑 到 服务 等 级 、 投 资 
成 本 等 因素 ， 分 期 、 分 层 对 企业 网 络 进行 优化 、 改 造 ， 在 部 分 企业 专 网 中 引入 MSTP 设 
备 ， 采 用 环 型 和 星 型 网 络 拓扑 结合 的 方式 ， 逐 步 实现 对 不 同等 级 客户 的 不 同 服务 质量 保 
障 。MSTP 平台 可 以 提供 SDH 网 络 提供 的 所 有 传输 带宽 , 并 且 能 够 实现 多 个 网 络 部 分 之 
间 共 享 传输 带宽 。 

具体 的 建设 方案 如 下 : 将 企业 网 络 服务 平台 划分 为 核心 层 和 接 入 层 ， 将 业务 发 展 良 
好 、 业 务 集中 、 业 务 种 类 复杂 的 企业 专 网 和 重点 企业 用 户 纳入 核心 层 。 通 过 对 光缆 线路 
资源 进行 优化 ， 在 核心 层 引 入 MSTP 设备 组 成 环 网 ， 建 立 专 有 的 重要 企业 业务 平台 ， 
供 丰 富 的 业务 种 类 和 可 定制 服务 (ATM、Ethemet 以 及 2M 专线 等 业务 )， 网 络 的 结构 、 
容量 、 管 理 和 发 展 均 以 满足 重点 企业 业务 的 开展 为 基准 ; 将 业务 数量 少 、 业 务 种 类 较 单 
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一 、 节 点 多 且 分 布 零散 的 企业 分 支 机 构 及 小 型 企业 纳入 接 入 层 ， 出 于 成 本 考虑 ， 接 入 层 
仍 保 持 星 型 组 网 或 光纤 直 连 方式 ， 今 后 可 根据 客户 业务 的 发 展 ， 逐 步 进行 改造 。 

图 2-63 是 利用 MSTP 技术 , 实现 一 个 企业 不 同 局 域 网 络 之 间 连 接 的 示例 。 MSTP 设 
备 借助 于 SDH 网 络 提供 的 链 路 ， 形 成 MSTP 业务 环 ， 企 业 的 不 同 局 域 网 借助 于 路 由 器 
接 入 到 MSTP 设备 的 以 太 网 接口 ; 这 些 企业 网 络 所 有 的 局 域 网 之 间 的 连接 并 不 需要 占用 
多 个 SDH 信道 ， 而 是 共享 一 个 传统 SDH 信道 的 带宽 ， 通 过 这 种 方式 ， 可 以 避免 企业 网 
络 连接 对 SDH 网 络 资源 的 大 量 浪费 ， 同 时 由 于 各 个 局 域 网 络 之 间 访 问 的 透明 性 、 随 机 
性 和 不 确定 性 ， 企 业 用 户 的 网 络 感受 和 传统 SDH 互联 方式 区 别 不 大 。 


企业 本 部 
局 域 网 


局 域 网 Fa 局 域 网 
ND 
ND 和 
MSTP 设 备 
MSTP 平 台 


SDH 网 络 


路 由 器 路 由 器 


图 2-63 利用 MSTP 平台 实现 局 域 网 互联 


4. 传统 VPN 技术 

虚拟 专用 网 (VPN) 通过 公共 网 络 实现 远程 用 户 或 远程 局 域 网 之 间 的 互联 ， 主 要 采 
用 隧道 技术 ， 让 报 文通 过 如 Internet 或 其 他 商用 网 络 等 公共 网 络 进行 传输 。 由 于 隧道 是 
专用 的 ， 使 得 通过 公共 网 络 的 专用 隧道 进行 报 文 传输 的 过 程 和 通过 专用 的 点 对 点 链 路 进 
行 报 文 传输 的 过 程 非常 相似 ， 由 于 公共 网 络 可 以 同时 具有 多 条 专用 隧道 ， 因 而 就 可 以 同 
时 实现 多 组 点 对 点 报 文 传输 。 

传统 的 VPN 技术 主要 基于 实现 数据 安全 传输 的 协议 来 完成 ， 主 要 包括 两 个 层次 的 
数据 安全 传输 协议 ， 分 别 为 二 层 协议 和 三 层 协议 。 二 层 协议 主要 是 对 传统 拨号 协议 PPP 
的 扩展 ， 通 过 定义 多 协议 跨越 第 二 层 点 对 点 连接 的 一 个 封装 机 制 ， 来 整合 多 协议 拨号 服 
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务 至 现 有 的 因特网 服务 提供 商 点 ， 保 证 分 散 的 远程 客户 端 通过 隧道 方式 经 由 Intemet 等 
网 络 访问 企业 内 部 网 络 ; 其 典型 协议 为 L2TP， 主 要 用 于 利用 拨号 系统 实现 远程 用 户 安 
全 接 入 企业 网 络 ;三 层 协议 主要 定义 了 在 一 种 网 络 层 协 议 上 封装 另 一 个 协议 的 规范 ， 通 
过 对 需要 传递 的 业务 数据 的 网 络 层 分 组 进行 封装 ,封装 后 的 分 组 仍然 是 一 个 网 络 层 分 组 ， 
可 以 在 VPN 寄生 的 网 络 上 进行 传递 ,使 得 各 个 VPN 部 分 之 间 可 以 借助 于 隧道 进行 通信 ; 
典型 的 三 层 协议 包括 IPSec 和 GRE， 其 中 IPSec 主要 是 在 IP 协议 上 实现 封装 ，GRE 是 
一 种 规范 ， 可 以 适用 于 多 种 协议 的 封装 。 

基于 三 层 协议 的 VPN 技术 主要 用 于 企业 各 局 域 网 络 之 间 的 连接 ， 分 为 点 对 点 方式 
和 中 心 辐射 状 方式 ， 如 图 2-64 所 示 。 点 对 点 方式 (point-to-point) 下 ， 两 个 分 支局 域 网 
络 边界 上 部 署 VPN 网 关 或 者 是 带 有 VPN 功能 的 防火 墙 、 路 由 器 ， 这 些 VPN 网 关 通 过 
物理 链 路 接 入 互联 网 ， 并 由 IPSec 协议 或 GRE 协议 形成 两 个 路 由 器 之 间 的 逻辑 隧道 ， 实 
现 局 域 网 络 之 间 的 数据 传递 ， 中心 辐射 状 方式 (hub-and-spoke) 下 ， 核 心 局 域 网 和 各 分 
支局 域 网 的 边界 上 都 部 署 VPN 网 关 ， 核 心 局 域 网 路 由 器 和 每 个 分 支局 域 网 路 由 器 之 间 
建立 逻辑 隧道 ， 完 成 多 个 局 域 网 分 支 的 互 连 ， 分 支局 域 网 之 间 的 访问 需要 经 过 中 心 局 域 
网 的 转发 。 


核心 
局 域 网 


VPN 网 关 或 带 有 VPN 功 
能 的 防火 墙 、 路 由 器 


逻辑 的 

SECS IPSec 或 / 

GRE 通 道 / 
了 


VPN 网 关 


点 对 点 方式 中 心 辐射 状 方式 
2-64 ”利用 三 层 VPN 技术 实现 局 域 网 络 互联 


5. MPLS VPN 技术 

MPLS 是 多 协议 标签 交换 的 简称 ， 它 用 短 而 定 长 的 标签 来 封装 分 组 。MPLS 从 各 种 
链 路 层 〈 如 PPP、AIM、 帧 中 继 、 以 太 网 等 ) 得 到 链 路 层 服务 ， 又 为 网 络 层 提供 面向 连 
接 的 服务 。MPLS 能 从 卫 路 由 协议 和 控制 协议 中 得 到 支持 ， 同 时 还 支持 基于 策略 的 约 
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束 路 由 ， 路 由 功能 强大 、 灵 活 ， 可 以 满足 各 种 新 应 用 对 网 络 的 要 求 。 

MPLS 技术 主要 是 为 了 提高 路 由 器 转发 速度 而 提出 的 ， 其 核心 思想 是 利用 标签 交换 
取代 复杂 的 路 由 运算 和 路 由 交换 ， 该 技术 实现 的 核心 就 是 在 IP 数据 包 之 外 封装 一 个 32 
比特 的 MPLS 包头， 如 图 2-65 所 示 ; MPLS 体系 中 的 各 个 路 由 设备 ,将 根据 MPLS 包头 
中 的 标签 进行 转发 ， 而 不 是 传统 方式 下 根据 卫 包头 中 的 目标 地 址 来 转发 ， 由 于 MPLS 
标签 栈 可 以 无 限 嵌 套 ,从 而 提 供 无 限 的 业务 支持 能 力 , 而 MPLS VPN 就 是 一 个 典型 的 标 
签 嵌 套 应 用 。 


标签 Cos |S TTL 32bit 


2 层 头 部 MPLS 头 部 IP 头 部 数据 


图 2-65 ”MPLS 封装 


MPLS VPN 是 一 种 基于 MPLS 技术 的 IP-VPN， 是 在 网 络 路 由 和 交换 设备 上 应 用 
MPLS 技术 ， 简 化 核心 路 由 器 的 路 由 选择 方式 ， 利 用 结合 传统 路 由 技术 的 标记 交换 实现 
的 卫 虚拟 专用 网 络 (IP VPN)， 可 用 来 构造 合适 宽带 的 企业 网 络 、 专 用 网 络 ， 满 足 多 种 
灵活 的 业务 需求 。 采用 MPLS VPN 技术 可 以 把 现 有 的 卫 网 络 分 解 成 逻辑 上 隔离 的 网 络 ， 
这 种 逻辑 上 隔离 的 网 络 的 应 用 可 用 在 解决 企业 互 连 、 政 府 相同 /不 同 部 门 的 互 连 , 也 可 以 
用 来 提供 新 的 业务 ,为 解决 卫 网 络 地 址 不 足 、Qos 需求 、 专 用 网 络 等 需求 提供 较 好 的 解 
决 途径 ， 因 此 也 成 为 新 型 电信 运营 商 提供 局 域 网 络 互联 服务 的 主要 手段 。 

一 个 典型 的 MPLS VPN 承载 平台 如 图 2-66 所 示 。 

承载 平台 上 的 设备 主要 由 各 类 路 由 器 组 成 , 这 些 路 由 器 在 MPLS VPN 平台 中 的 角色 
各 不 相同 ,分 别 被 称 为 P 设备、PE 设备 、CE 设备 ; P 路 由 器 (provider router) 是 MPLS 
核心 网 中 的 路 由 器 ， 这 些 路 由 器 只 负责 依据 MPLS 标签 完成 数据 包 的 高 速 转发 ，PE 路 
由 器 (Provider Edge Router) 是 MPLS 核心 网 上 的 边缘 路 由 器 ， 与 用 户 的 CE 路 由 器 互 
连 ，PE 设备 负责 待 传送 数据 包 的 MPLS 标签 的 生成 和 弹出 ， 负 责 将 数据 包 按 标签 发 送 
给 了 路 由 器 或 接收 来 自 P 路 由 器 的 含 标签 数据 包 ，PE 路 由 器 还 将 发 起 根据 路 由 建立 交 
换 标签 的 动作 ; CE (Custom Edge) 路 由 器 是 直接 与 电信 运营 商 相连 的 用 户 端 路 由 器 ， 
该 设备 上 不 存在 任何 带 有 标签 的 数据 包 , CE 路 由 器 将 用 户 网 络 的 信息 发 送 给 PE 路 由 器 ， 
以 便于 在 MPLS 平台 上 进行 路 由 信息 的 处 理 。 

如 图 2-66 所 示 , 一 个 企业 可 以 借助 于 MPLS VPN 承载 平台 , 将 由 不 同 CE 路 由 器 互 
连 的 局 域 网 络 互 联 起 来 形成 一 个 完整 的 企业 网 络 ; 在 这 个 MPLS VPN 平台 上 , 可 以 存在 
多 个 企业 网 络 , 这 些 网 络 之 间 除 非特 殊 设置 , 相互 之 间 是 逻辑 隔离 的 , 不 同 企业 网 。 络 
之 间 不 能 直接 互 访 ; 用 户 网 络 只 需要 提供 CE 路 由 器 ， 并 连接 到 PE 路 由 器 ， 由 平台 管 
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理 员 完 成 VPN 的 互 连 工作 ; PE 路 由 器 可 以 同时 和 多 个 CE 路 由 器 建立 物理 连接 ， 也 可 
以 借助 于 支持 MPLS 协议 的 交换 机 ， 通 过 VLAN 技术 实现 和 多 个 CE 路 由 器 的 互 连 ， 从 
而 保证 多 个 用 户 网 络 部 分 的 接 入 。 


图 2-66 ”MPLS VPN 承载 平台 


2.5.5.3 ”广域网 性 能 优化 


广域网 连接 的 可 靠 性 和 可 伸缩 性 将 决定 企业 内 部 网 是 否 有 效 地 满足 用 户 的 需要 ， 通 
过 广域网 络 优化 ， 可 以 分 析 企业 通信 网 络 的 所 有 组 成 部 分 ， 并 确定 如 何 进行 优化 ， 以 提 
高 总 体 性 能 并 降低 综合 费用 。 

对 于 广域网 性 能 的 优化 ， 可 以 从 以 下 方面 进行 考虑 。 

1. 广域网 网 络 瓶颈 

在 企业 内 部 网 中 ， 无 论 各 个 局 域 网 络 内 部 的 带宽 是 如 何 的 元 余 ， 一 旦 各 局 域 网 络 的 
广域网 连接 不 能 提供 局 域 网 互 访 的 带宽 需求 ， 都 会 形成 企业 网 络 的 瓶颈 ， 会 严重 影响 企 
业 网 络 的 整体 性 能 。 

因此 ， 在 进行 逻辑 设计 时 ， 应 在 保证 总 体 投资 不 超过 预算 的 同时 ， 尽 量 提升 广域网 
络 的 带宽 ， 另 外 ， 当 借助 于 广域网 将 各 局 域 网 互联 起 来 后 ， 可 以 对 这 些 网 络 之 间 的 互 访 
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设计 较为 严格 的 访问 控制 策略 ， 只 允许 必要 的 通信 流量 ， 提 供 对 广域网 带宽 的 合理 利用 
和 分 配 。 
2. 利用 路 由 器 实现 广域网 预 留 带宽 
路 由 器 不 是 实现 局 域 网 络 互联 的 唯一 设备 ， 代 理 服务 器 、 应 用 网 关 等 设备 也 都 可 以 
实现 各 局 域 网 络 的 互联 ， 只 是 互联 的 层次 不 同 ， 由 于 路 由 器 工作 在 网 络 层 ， 并 且 具 有 一 
些 针对 信息 流 的 优化 措施 ， 因 此 应 尽量 使 用 路 由 器 来 完成 局 域 网 互联 ， 这 些 优化 措施 
包括 以 下 一 些 内 容 : 
。 路 由 器 可 过 滤 不 必要 的 局 域 网 通信 量 ， 包 括 广播 通信 流量 ， 不 支持 路 由 协议 的 通 
信和 发 向 未 知 网 络 的 信息 等 。 
。 路 由 器 拥有 较 强 的 数据 包 检 查 、 验 证 机 制 ， 并 可 以 通过 数据 包 的 优先 级 别 、 队 列 
机 制 等 ， 对 网 络 流量 进行 优化 。 
。 路 由 器 可 以 针对 不 同 的 广域网 技术 ， 对 各 类 协议 参数 进行 优化 ， 通 过 不 断 调整 参 
数 ， 达 到 整体 网 络 性 能 的 优化 。 
。 路 由 器 可 以 将 各 类 错误 的 影响 限制 在 一 个 特定 的 区 域内 ， 限 制 了 错误 的 影响 
范围 。 
3. 拨号 线路 的 应 用 
拨号 线路 虽然 提供 的 广域网 带宽 较 低 ， 相 对 来 说 稳定 性 较 差 ， 但 是 在 减少 广域网 网 
络 成 本 和 提供 后 援 备份 电话 线 方面 有 其 突出 的 优势 。 
可 以 在 以 下 的 情况 考虑 使 用 拨号 线路 ， 对 现 有 广域网 络 进行 优化 。 
网 络 中 存在 大 量 分 散 的 用 户 ， 这 些 用 户 对 网 络 的 访问 需求 是 不 固定 的 ， 并 且 通 常 访 
问 网 络 所 产生 的 流量 较 少 ， 通 过 拨号 线路 的 应 用 ， 可 以 避免 远程 用 户 在 不 访问 网 络 时 广 
域 网 络 线路 资源 的 占用 ， 仅 利用 少量 线路 满足 大 量 用 户 的 远程 访问 需求 ， 在 保证 网 络 访 
问 的 同时 降低 网 络 建设 成 本 。 
路 由 器 等 设备 在 正常 线路 之 外 , 可 以 将 拨号 线路 作为 附件 带宽 线路 ; 一 旦 产生 拥塞 ， 
则 可 以 启动 拨号 线路 来 增加 带宽 。 
拨号 线路 也 是 经 济 实惠 的 备用 线路 ， 在 正常 情况 下 ， 拨 号 线路 不 启用 ， 不 会 产生 流 
量 费用 ; 当 检 测 到 故障 产生 时 ， 广 域 网 络 设备 可 以 启动 拨号 线路 ， 建 立 备 份 路 径 ， 保 证 
网 络 的 正常 通信 。 
4. 压缩 
采用 数据 压缩 技术 可 以 有 效 利 用 较 小 的 广域网 络 带 宽 ， 这 些 压缩 技术 主要 由 广域网 
络 中 的 路 由 器 实现 ， 实 现 数据 传输 压缩 的 方式 主要 有 两 种 ， 分 别 是 基于 历史 数据 的 压缩 
和 所 有 数据 包 压 缩 。 
基于 历史 数据 的 压缩 一 一 该 类 压缩 模式 中 ， 路 由 设备 从 多 个 数据 包 中 找 出 重复 的 数 
据 模式 ， 使 用 更 短 的 代码 进行 替代 ， 发 送 方 和 接收 方 都 有 加 密 模式 和 密码 词典 ， 同 时 也 
可 以 实现 数据 包 的 加 密 和 人 解密。 为 了 避免 数据 丢失 对 后 续 压 缩 数 据 的 影响 ， 基 于 历史 数 
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据 的 压缩 技术 必须 应 用 在 较为 可 靠 的 数据 链 路 上 。 

所 有 数据 包 压 缩 一 一 该 类 模式 对 所 有 数据 包 都 进行 重复 查找 ， 并 使 用 更 短 的 代码 进 
行 奉 换 ， 每 个 压缩 后 的 数据 包 都 是 独立 的 压缩 体 ， 可 以 自行 进行 解压 操作 ， 由 于 单个 数 
据 包 丢失 不 会 对 其 他 数据 包 造 成 影响 ， 因 此 该 类 压缩 技术 可 以 运行 在 不 可 靠 的 数据 链 
路 上 。 

S.， 链 路 聚合 

当 路 由 器 上 的 一 个 广域网 连接 提供 的 带宽 不 能 满足 应 用 需求 时 ， 网 络 管理 可 以 考虑 
申请 多 个 广域网 链 路 ， 并 且 将 这 些 链 路 聚合 成 一 个 虚拟 的 链 路 ， 从 而 实现 对 广域网 络 的 
优化 ， 例 如 在 使 用 SDH 网 络 完成 局 域 网 互联 时 ， 路 由 器 上 的 广域网 接口 只 能 和 一 条 El 
信道 连接 ， 提 供 2 兆 的 带宽 ， 网 络 管理 员 可 以 申请 多 条 El 线路 ， 利 用 路 由 器 上 的 元 余 
广域网 端口 连接 El 线路 ， 同 时 将 多 条 链 路 聚合 成 一 个 逻辑 连接 ， 这 样 可 以 为 广域网 提 
供 多 个 El 信道 的 传输 带宽 ， 而 同时 不 需要 修改 路 由 的 相关 配置 。 

6. 数据 优先 排序 

数据 包 的 优先 权 排 序 赋 予 管理 员 更 多 的 灵活 性 ， 管 理 员 可 赋予 传输 队列 中 对 时 间 敏 
感 消息 更 高 的 优先 权 ， 保 证 这 些 数 据 的 优先 发 送 和 溢出 保护 。 通 常 优先 权 方案 为 每 个 数 
据 包 分 配 确定 的 优先 权 ， 然 后 按 紧急 、 高 级 、 一 般 和 低级 4 个 级 别 为 数据 包 赋 予 4 个 优 
先 权 队 列 之 一 。 

网 络 关 键 信息 (如 有 关 拓 扑 结 构 改 变 的 路 由 协议 更 新 〉 自 动 被 分 配 到 紧急 优先 权 队 
列 中 ， 紧 急 数 据 包 在 所 有 信息 中 具有 最 高 优先 权 。 紧 急 优先 权 队 列 中 所 有 的 数据 包 发 送 
完 以 后 ， 路 由 器 再 按照 用 户 配置 参数 控制 的 顺序 向 广域网 接口 发 送 其 他 队列 的 数据 包 。 

7. 协议 带宽 预 留 

协议 带宽 预 留 可 以 让 管理 员 为 特殊 的 协议 和 应 用 按 比 例 分 配 带宽 ， 例 如 ， 网 络 管理 
员 可 以 将 广域网 总 带宽 的 10% 分 配给 HTTP 协议 ，10% 分 配给 FTP 协议 ，20% 分 配给 
SMTP 和 POP3 协议 ， 其 余 的 带宽 不 做 分 配 。 

协议 带宽 预 留 不 同 于 数据 优先 权 排序 的 方案 ， 主 要 是 根据 协议 的 类 型 进行 带宽 预 留 
约定 ;例如 ， 当 广域网 络 带 宽 的 10% 预 留 给 HTTP 协议 时 ， 即 使 网 络 设备 上 还 存在 较 高 
优先 权 的 数据 包 需 要 发 送 ， 只 要 HITP 协议 数据 占据 了 10% 的 带宽 ,这些 高 优先 权 的 数 
据 也 不 能 占用 HITP 的 带宽 ， 而 预 留 的 另外 一 个 意思 是 ， 如 果 这 些 预 留 的 带宽 特定 协议 
使 用 不 了 ， 则 可 以 由 其 他 协议 占用 。 

8. 对 话 公 平 

对 话 公平 是 对 协议 预 留 方案 的 增强 ， 它 保证 通信 平等 地 在 所 有 用 户 间 传 输 ， 不 允许 
某 个 用 户 垄 断 广 域 网 带宽 。 对 话 公平 主要 是 为 了 防止 一 些 用 户 长 期 占用 网 络 资源 ， 而 影 
响 了 其 他 用 户 的 网 络 访问 ， 对 话 公平 在 协议 带宽 预 留 的 基础 上 ， 将 预 留 的 网 络 带 宽 平均 
分 配给 所 有 的 协议 用 户 ,例如 总 带宽 的 10% 被 分 配给 了 HTTP 协议 , 而 当前 有 20 个 HITP 
对 话 连 接 ， 则 每 个 连接 的 带宽 都 将 被 限制 为 HTTP 协议 预 留 带宽 的 1120， 也 就 是 总 带宽 
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的 5%， 这 样 可 以 保证 每 个 HTTP 用 户 都 能 够 均衡 地 访问 网 络 。 
2.5.6 ”地 址 设计 和 命名 模型 


2.5.6.1 分 配 网 络 层 地 址 的 原则 


分 配 规划 、 管 理 和 记录 网 络 层 地 址 是 网 络 管理 工作 的 重点 内 容 ， 好 的 网 络 层 地 址 分 
配 规划 ， 不 仅 可 以 让 管理 员 对 地 址 实施 便捷 的 管理 ， 也 为 路 由 协议 的 收敛 等 提供 良好 的 
基础 ， 因 此 逻辑 设计 阶段 ， 对 于 网 络 层 地 址 的 分 配 应 遵循 一 些 特定 的 原则 。 

1. 使 用 结构 化 网 络 层 编 址 模型 

网 络 层 地址 的 结构 化 模型 是 对 地 址 进行 层次 化 的 规划 , 例如 IP 协议 的 地 址 本 身 就 是 
层次 化 的 ， 分 为 网 络 前 级 和 主机 两 个 部 分 。 使 用 结构 化 网 络 层 编制 模型 的 基本 思路 是 首 
先 为 企业 网 络 分 配 一 个 人 P 网 络 号 段 , 然后 将 网 络 号 分 成 多 个 子 网 ,最 后 将 子 网 划分 成 为 
更 细 的 子 网 。 

采用 结构 化 网 络 层 编 址 模型 ， 有 利于 地 址 的 管理 和 故障 排除 。 结 构 化 使 得 理解 网 络 
结构 、 网 管 软件 实施 管理 、 协 议 分 析 设 备 的 分 析 和 报告 生成 都 相对 较为 容易 ， 同 时 由 于 
结构 化 网 络 地 址 在 路 由 器 、 防 火 墙 等 设备 上 的 过 滤 规 则 表达 的 优势 ， 也 使 得 网 络 优化 和 
网 络 安全 易于 实现 。 

2. 通过 中 心 授权 机 构 管理 地 址 

一 个 企业 的 信息 管理 部 门 应 该 为 网 络 层 编 址 提供 一 个 全 局 模型 ， 而 网 络 设计 者 必须 
先 提供 这 个 参考 模型 ， 这 个 模型 应 该 根据 核心 、 汇 聚 、 接 入 的 层次 化 ， 对 企业 各 个 区 域 、 
分 支 机 构 等 在 模型 中 的 位 置 进行 明确 标识 。 

在 企业 网 络 中 ，JP 地 址 由 两 类 地 址 构成 ， 分 别 为 公有 地 址 和 私有 地 址 。 私 有 地 址 多 
是 一 些 保留 地 址 段 ， 只 在 企业 网 络 内 部 使 用 ， 企 业 信息 管理 部 门 拥有 对 地 址 的 管理 权 。 
公有 地 址 是 全 局 唯一 的 地 址 ， 并 且 必 须 在 授权 机 构 注册 才能 使 用 。 

在 设计 阶段 ， 必 须 明 确 如 下 内 容 : 

。 是 否 需要 公有 地 址 和 私有 地 址 。 

。 只 需要 访问 专用 网 络 的 主机 分 布 。 
需要 访问 公 网 的 主机 分 布 。 
私有 地 址 和 公有 地 址 如 何 翻译 。 
私有 地 址 和 公有 地 址 的 边界 。 

3. 编 址 的 分 布 授权 

与 编制 模型 匹配 的 是 一 个 地 址 授权 管理 中 心 以 及 相应 的 管理 制度 ， 该 中 心 不 仅 可 以 
直接 管理 网 络 地址 ， 还 可 以 根据 需要 在 网 络 区 域 、 分 支 结构 内 建设 分 中 心 ， 授 权 分 中 心 
的 管理 人 员 对 区 域 的 地 址 进行 管理 。 

在 各 分 支 机 构 管理 人 员 网 络 管理 业务 较 强 、 网 络 规模 较 大 的 情况 ， 可 以 采用 分 布 授 
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权 模 式 ， 由 设计 人 员 依 据 结构 化 模型 ， 将 各 个 地 址 段 的 编 址 和 管理 分 配 于 相应 的 分 支 
机 构 。 

如 果 分 支 机 构 的 管理 人 员 缺 乏 经 验 ， 则 不 能 采用 分 布 授权 方式 ， 而 采用 集中 管理 方 
式 ， 以 避免 误 操作 以 及 网 络 失效 带 来 的 故障 。 

4. 为 终端 系统 使 用 动态 编 址 

对 于 频繁 变更 位 置 、 移 动 性 较 大 的 终端 用 户 ， 采 用 静态 的 网 络 地 址 不 利于 管理 ， 动 
态 编 址 协议 的 使 用 既 可 以 保证 分 配 的 地 址 纳入 管理 范畴 ， 又 可 以 减少 管理 工作 量 。 

在 TCP/IP 体系 中 ， 主 要 使 用 DHCP 来 完成 终端 主机 的 他 地 址 和 域名 自动 获取 。 

DHCP 使 用 客户 机 /服务 器 模型 ， 服 务 器 分 配 网 络 地 址 ， 并 保存 已 分 配 地 址 信息 ; 客 
户 机 从 服务 器 动态 请 求 配置 参数 。DHCP 支持 三 种 IP 地 址 分 配方 法 。 

。 自动 分 配 : 服务 器 为 客户 机 分 配 一 个 永久 的 他 地 址 。 

。 动态 分 配 : 服务 器 在 一 个 有 限 的 时 间 段 内 ， 为 客户 机 分 配 一 个 PP 地 址 ， 在 使 用 

完毕 后 予以 回收 。 
。 手工 分 配 : 由 网 络 管理 员 为 客户 机 分 配 一 个 永久 卫 地 址 , DHCP 仅 用 于 将 手工 分 
配 的 地 址 传送 给 客户 机 。 

动态 分 配 是 较为 流行 的 方法 ， 通 过 租用 机 制 ， 可 以 保证 有 限 的 地 址 为 大 量 的 不 同时 
段 的 客户 机 提供 地 址 分 配 服务 ， 并 且 动 态 分 配 地 址 减少 了 管理 人 员 的 工作 量 。 

设计 人 员 在 逻辑 设计 阶段 必须 确定 如 下 问题 : 

。 可 以 使 用 自动 分 配 的 客户 机 群落 。 

。 可 以 使 用 动态 分 配 的 客户 机 群落 。 

。 DHCP 可 以 管理 的 IP 地 址 段 。 

。 DHCP 的 逻辑 网 段位 置 等 。 

5. 私有 地 址 的 使 用 

私有 地 址 可 以 用 于 企业 内 部 的 地 址 ， 这 些 地 址 相互 之 间 可 以 访问 ， 但 是 在 访问 公 网 
地 址 时 ， 必 须 进行 转换 。 

在 RFC1918 中 ，IETF 为 内 部 使 用 的 私有 地 址 预 留 了 如 下 的 地 址 段 : 

e 10.0.0.1~10.255.255.255 

e 172.46.00 一 172.31.255.255 

e 192.168.0.0~192.168.255.255 

私有 地 址 的 存在 使 得 网 络 内 部 安全 性 提高 ， 外 部 网 络 无 法 发 起 针对 私有 网 络 地 址 的 
攻击 ， 私 有 地 址 不 需要 授权 机 构 的 管理 ， 灵 活性 强 ; 私有 地 址 可 以 避免 大 量 公有 地 址 的 
浪费 。 但 同时 ， 也 具备 一 些 缺 点 ， 如 网 络 管理 一 旦 外 包 ， 则 很 难 实施 管理 ， 地 址 分 配 容 
易 造 成 混乱 的 情况 ， 另 外， 由 于 大 多 数 用 户 使 用 的 私有 地 址 段 都 是 相近 的 ， 在 实现 VPN 
互联 时 ， 很 容易 造成 地 址 冲突 。 

设计 人 员 必 须 设计 出 私有 地 址 与 公有 地 址 的 转换 方式 ， 目 前 在 地 址 转换 方面 主要 有 
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三 种 技术 ， 分 别 是 NAT、PAT 和 Proxy。 

NAT 技术 是 由 网 络 管理 员 提供 一 个 公有 IP 地 址 池 ， 私 有 地 址 的 主机 在 访问 公有 网 
络 时 ， 建 立 起 私有 地 址 和 地 址 池 中 某 一 个 人 P 地 址 的 映射 关系 ， 从 而 访问 公有 网 络 。 

PAT 技术 是 多 个 私有 地 址 共用 一 个 公有 下 地 址 , 在 两 种 地 址 的 边界 设备 上 , 建立 起 
端口 的 映射 表 ， 这 个 表 主 要 由 私有 源 地 址 、 私 有 地 址 源 端口 、 公 有 地 址 源 端口 组 成 ， 通 
过 这 种 映射 关系 来 完成 多 个 私有 地 址 访 同时 访问 公有 网 络 。 

Proxy 不 是 工作 在 网 络 层 的 地 址 转换 技术 ， 主 要 是 工作 在 应 用 层 ， 由 代理 软件 完成 
数据 包 的 地 址 转换 工作 。 


2.5.6.2 ”使 用 层次 化 模型 分 配 地 址 


层次 化 编 址 是 一 种 对 地 址 进行 结构 化 设计 的 模型 ， 使 得 地 址 的 左 半 部 分 的 号 码 可 以 
体现 大 块 的 网 络 或 节点 群 ， 而 右 半 部 分 可 以 体现 单个 网 络 或 节点 。 层 次 化 编 址 的 主要 优 
点 在 于 可 以 实现 层次 化 的 路 由 选择 ， 利 于 在 网 络 互联 路 由 设备 之 间 分 发 网 络 拓扑 结构 。 

1. 层次 化 编 址 的 优势 

在 编 址 和 路 由 选择 模型 中 使 用 层次 化 模型 具有 如 下 好 处 : 

。 易于 排查 故障 。 

。 易于 管理 和 性 能 优化 。 

。 加 快 路 由 选择 协议 收敛 。 

。 需要 更 少 的 网 络 资源 。 

。 可 扩展 和 稳定 性 强 。 

层次 化 编制 允许 对 网 络 号 进行 汇总 ， 这 使 得 路 由 器 在 通告 路 由 表 时 对 路 由 规则 条 目 
相应 进行 汇总 ， 另 外 该 编 址 方式 易于 实现 可 变 长 度 子 网 掩 码 (VLSM)， 为 子 网 的 划分 添 
加 了 灵活 度 ， 优 化 可 用 地 址 空间 。 

2. 层次 化 路 由 选择 

层次 化 路 由 的 含义 是 指 对 网 络 拓扑 结构 和 配置 的 了 解 是 局 部 的 ， 一 台 路 由 器 不 需要 
知道 所 有 的 路 由 信息 ， 只 需要 了 解 其 管辖 的 路 由 信息 ， 层 次 化 路 由 选择 需要 配合 层次 化 
的 地 址 编码 。 

设计 人 员 在 进行 地 址 分 配 时 ， 为 配合 实现 层次 化 的 路 由 器 ， 必 须 遵守 一 条 简单 的 规 
则 一 一 如 果 网 络 中 存在 着 分 支管 理 ， 而 且 一 台 路 由 器 负责 连接 上 级 机 构 和 下 级 机 构 ， 则 
分 配给 这 些 下 级 机 构 网 段 的 地 址 应 属于 一 个 连续 的 地 址 空间 ， 并 且 这 些 连续 空间 可 以 用 
一 个 子 网 或 者 超 网 段 表 示 。 例 如 一 台 路 由 器 上 连 总 部 ， 下 连 4 个 分 支 机 构 ， 每 个 分 支 机 
构 都 分 配 一 个 C 类 地 址 段 ， 整 个 企业 网 络 申请 的 地 址 空间 为 202.103.64.0 一 
202.103.79.255 (202.103.64.0/20 ); 则 对 这 4 个 分 支 机 构 应 该 分 配 连续 的 C 类 地 址 , 例 
如 从 202.103.64.0/24 一 202.103.67.0/24, 这 4 个 C 类 地 址 可 以 用 202.103.64.0/22 这 个 超 网 
来 表示 。 
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3. 无 类 路 由 选择 协议 

IP 地 址 分 为 两 个 部 分 分别 为 网 络 号 和 主机 号 , IP 地 址 本 身 被 分 为 多 种 类 型 ， 分 别 
为 A，B，C 类 地 址 。 传 统 的 路 由 协议 只 识别 分 类 地 址 ， 也 就 是 说 路 由 表 项 是 以 类 型 地 
址 为 依据 而 产生 ， 这 种 路 由 协议 被 称 为 分 类 路 由 选择 协议 。 

采用 这 种 传统 方式 , 不 仅仅 会 导致 大 量 的 地 址 浪费 , 而 且 会 导致 路 由 表 项 数量 过 多 
为 避免 IP 地 址 的 浪费 , 开始 出 现 了 子 网 的 概念 以 及 可 变 长 度 子 网 掩 码 概念 , 这 使 得 网 络 
的 表示 方式 发 生 了 很 大 的 变革 ， 典 型 的 对 网 络 的 表示 方法 就 是 使 用 长 度 字 段 来 表示 前 绥 
的 长 度 , 例如 地 址 10.1.0.1/16, 表示 这 是 一 个 地 址 范围 为 10.1.0.0 一 10.1.255.255 网 络 (可 
以 用 10.1.0.0/16 表示 ) 中 的 主机 地 址 ， 其 主机 部 分 为 0.0.0.1。 基 于 这 些 变革 ， 产 生 了 无 
类 路 由 选择 协议 ， 这 些 协议 不 基于 地 址 类 型 ， 而 是 基于 人 P 地 址 的 前 缀 长 度 ， 人 允许 将 一 个 
网 络 组 作为 一 个 路 由 表 项 ， 并 使 用 前 缀 说 明 哪 些 网 络 被 分 在 这 个 组 内 ; 确切 地 说 ， 无 类 
路 由 选择 协议 支持 任意 的 前 组 长 度 。 

设计 人 员 在 进行 选择 时 , 应 尽量 采用 无 类 路 由 选择 协议 , 包括 RIP V2、OSPF、GBP、 
IS-IS 等 。 

4. 路 由 汇聚 

无 类 路 由 选择 协议 通过 路 由 和 前 组 长 度 ， 如 果 地 址 是 层次 化 方式 分 配 的 ， 则 无 类 路 
由 选择 协议 可 以 将 多 个 子 网 或 网 络 汇聚 成 一 条 路 由 ， 从 而 减少 路 由 选择 协议 的 开销 ， 这 
种 汇聚 工作 的 重要 性 ， 在 企业 网 络 设 计 中 同样 重要 ， 因 为 路 由 汇聚 意味 着 一 个 区 域 的 问 
题 不 会 扩散 到 其 他 区 域 。 

在 进行 卫 地 址 规划 时 ， 为 了 保证 各 个 层次 路 由 汇聚 的 正确 性 ， 需 要 根据 卫 地 址 的 
分 配 情况 ， 对 路 由 汇聚 进行 验证 ， 可 针对 分 配方 案 和 地 址 预 留 方案 ， 依 据 下 列 规 则 对 各 
个 路 由 器 的 下 联网 络 进 行路 由 汇聚 测试 ， 以 便于 及 时 找到 扩展 性 等 方面 的 问题 。 

。 可 以 汇聚 的 多 个 网 络 卫 地 址 的 最 左边 的 二 进 制 必须 相同 。 

。 路 由 器 必须 依据 32 位 的 他 地址 和 最 长 可 达 32 位 长 的 前 级 长 度 确定 路 由 选择 。 

。 路 由 协议 必须 承载 32 位 地 址 的 前 缀 长度。 

5. 可 变 长 度 子 网 掩 码 

使 用 无 类 路 由 选择 协议 ， 意 味 着 在 单一 网 络 中 可 以 有 大 小 不 同 的 子 网 ， 子 网 大 小 的 
变化 就 是 通常 所 说 的 可 变 长 度 子 网 掩 码 (VLSM)。VLSM 依据 显示 提供 的 前 缀 长 度 信息 
使 用 地 址 ， 在 不 同 的 地 方 可 以 具有 不 同 的 前 组 长 度 提供 了 实用 卫 地 址 空间 的 效率 和 灵 
活性 。 

因此 ， 设 计 人 员 只 要 准备 采用 无 类 路 由 选择 协议 ， 就 可 以 在 网 络 内 部 根据 需要 任 
划分 不 同 规模 的 网 段 ， 并 采用 可 变 长 度 子 网 进行 表示 。 


2.5.6.3 ”设计 命名 模型 
命名 在 满足 客户 易 用 性 目标 方面 起 到 了 非常 关键 的 作用 ， 简 短 而 有 意义 的 名 字 可 以 


t 


意 
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帮助 用 户 非常 简洁 地 定位 服务 的 位 置 ， 设计 人 员 应 该 从 资源 的 角度 设计 出 易 用 性 、 可 管 
理性 强 的 命名 模型 ， 以 便于 提高 网 络 用 户 的 体验 度 。 

在 企业 网 络 中 ， 需 要 进行 命名 的 资源 较 多 ， 包 括 路 由 器 、 交 换 机 、 服 务 器 、 主 机 、 
打印 机 以 及 其 他 资源 ， 借 助 于 优秀 的 命名 模型 ， 网 络 用 户 可 以 直接 通过 便于 记忆 的 名 字 
而 不 是 地 址 透明 地 访问 服务 器 。 

在 网 络 命 名 系统 中 ， 将 名 字 映 射 到 地 址 的 方法 主要 包括 两 种 类 型 ， 一 种 是 使 用 命名 
协议 的 动态 方法 ， 一 种 是 借助 于 文件 等 方式 的 静态 方法 。 

网 络 中 的 命名 主要 涉及 NetBIOS 名 字 和 域名 两 个 方面 。 

1. 命名 的 分 布 授权 

企业 网 络 的 命名 管理 需要 建设 一 个 特定 的 中 心 授权 机 构 以 及 相应 的 管理 制度 ， 命 名 
的 授权 管理 可 以 采用 集中 方式 ， 也 可 以 采用 分 布 授权 方式 。 由 于 名 称 管理 的 特殊 性 ， 命 
名 自身 的 层次 性 ， 并 且 名 称 将 直接 面 对 客 户 ， 大 多 数 情况 下 都 采用 分 布 授权 ， 这 样 可 以 
提高 分 支 机 构 对 自身 内 部 名 称 变更 的 快速 性 。 

2. 分 配 名 字 的 原则 

在 对 网 络 资源 进行 命名 ， 并 分 配 具体 名 称 时 ， 需 要 遵循 一 些 特定 的 原则 : 

。 增强 易 用 性 ， 名 字 应 该 简短 、 有 意义 、 无 歧义 ， 用 户 可 以 很 容易 地 通过 名 称 来 对 

应 各 类 资源 ， 例 如 交换 机 使 用 sw 作为 开头 、 服 务 器 使 用 srtv、 路 由 器 使 用 rt 等 。 

。 名 字 可 以 包含 位 置 代码 ， 设 计 人 员 可 以 在 名 字模 型 中 加 入 特定 的 物理 位 置 代码 ， 

例如 第 几 分 公司 、 总 部 等 特殊 的 代码 。 

。 名 字 中 应 尽量 避免 使 用 连 字 符 、 下 划 线 、 空 格 等 不 常用 字符 。 

。 名 字 不 应 该 区 分 大 小 写 ， 否 则 会 导致 用 户 使 用 的 不 方便 。 

3. NetBIOS 名 字 

NetBIOS 是 一 个 具有 设备 命名 功能 的 应 用 编程 接口 , 而 NetBIOS 名 字 是 网 络 中 应 用 
进程 的 唯一 名 称 。NetBIOS 名 字 为 微软 Windows 平 台 的 客户 机 和 服务 器 之 间 的 应 用 访问 、 
文件 共享 提供 了 编 址 基础 。 

NetBIOS 具备 自己 独立 的 名 字 解 析 概念 和 能 力 ; 在 NetBIOS 中 ,计算 机 需要 首先 注 
册 自 己 的 名 字 , 才能 解析 该 名 字 。 从 NetBIOS 名 字 查 找 相应 的 节点 地 址 (TCP/IP 协议 中 
为 卫 地 址 ) 有 几 种 不 同 的 查找 方式 。 

。 本 地 广播 : 广播 自己 的 NetBIOS 名 字 ， 完 成 注册 和 查询 对 应 IP 地 址 的 工作 。 
缓冲 : 支持 NetBIOS 的 计算 机 都 维护 NetBIOS 名 字 和 卫 地 址 的 临时 列表 。 

名 字 服 务 器 : 通过 WINS 服务 器 实现 NBNS (NetBIOS Name Server) 功能 ,计算 
机 通过 NBNS 完成 注册 与 查询 工作 。 

Lmhosts 文件 : 本 地 文件 lmhosts 存放 着 手工 设 定 的 NetBIOS 与 IP 的 对 应 关系 ， 
以 便于 计算 机 查询 。 

DNS/hosts 方式 : 在 其 他 方法 都 无 法 查询 时 ， 可 以 借助 于 DNS 和 hosts 文件 实现 
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名 字 与 耳 的 转换 。 

网 络 设计 人 员 需 要 在 这 些 不 同 的 查找 方式 中 进行 选择 ， 确 保 局 域 网 络 具 有 正常 的 
NetBIOS 注册 和 解析 能 力 。 

4. 域名 解析 

DNS 用 于 完成 难于 记忆 的 IP 地 址 与 域名 之 间 的 转换 ， 主 要 有 两 项 功能 ， 分 别 为 正 
向 解析 〈forward domain) 与 道 向 解析 (reverse domain)。 正 向 解析 的 主要 任务 是 将 域名 
转换 为 数字 的 卫 地 址 ， 以 便 网 络 应 用 程序 能 够 正确 地 找到 需要 连接 的 目标 主机 ; 逆向 解 
析 的 主要 任务 是 将 数字 的 IP 地 址 转换 为 域名 。 

DNS 并 不 像 简单 的 客户 机 /服务 器 系统 ， 仅 仅 由 客户 机 提出 请 求 ， 而 DNS 服务 器 给 
出 应 答 ， 单 赁 一 台 DNS 服务 器 无 法 完成 庞大 而 复杂 的 域名 解析 工作 ， 解 析 工 作 由 无 数 
DNS 服务 器 所 构成 的 分 步 式 系统 所 共同 完成 ， 如 图 2-67 所 示 。 


， 
域名 解析 请 求 | 
一 AN DNS 
己 服务 器 间 硕 询 。 Sever 
RK | 
erver 


Client 解析 应 答 DNs S 
C/S 系统 ! DNS 分 布 式 系统 


图 2-67 DNS 系统 


DNS 的 域名 服务 器 进程 按 功能 可 以 分 为 4 类, 分 别 为 主 服 务 器 (Primary/Master DNS 
Server)、 次 服务 器 (Secondry/Slave DNS Server)、 缓 存 服务 器 〈Cache) 和 解析 服务 器 
(Resolver)。 主 服务 器 负责 维护 某 个 域 的 域名 解析 数据 库 ， 并 向 其 他 主机 提供 域名 查询 ; 
次 服务 器 利用 区 域 传送 ， 从 主 服务 器 复制 网 络 区 域内 的 域名 解析 数据 ， 当 主 服务 器 不 能 
正常 工作 时 ， 次 服务 器 就 可 以 向 外 界 提 供 查 询 ， 缓 存 服务 器 的 功能 是 缓存 域名 解析 的 结 
果 ， 减 轻 域名 服务 器 的 负荷 ， 解 析 服务 器 是 一 个 客户 端 软件 ， 执 行 本 机 的 域名 查询 。 每 
台 DNS 服务 器 主机 上 都 由 二 种 或 三 种 服务 器 进程 共同 提供 DNS 服务 。 

另外 DNS 中 没有 专门 的 逆向 解析 ， 北向 解析 是 借助 于 一 个 特殊 域 (in-addr.arpa) 的 
正 向 解析 来 完成 的 。 

设计 人 员 应 该 确定 网 络 系统 中 的 DNS 服务 器 数量 和 类 型 ， 同 时 对 需要 进行 正 向 解 
析 的 域名 区 域 、 逆 向 解析 的 人 P 地 址 范围 进行 确定 。 


2.5.7 ”路 由 选择 协议 


路 由 选择 协议 使 路 由 器 能 够 自动 学 习 如 何 达 到 网 络 ， 并 与 其 他 路 由 器 交换 路 由 信 
息 ， 以 达到 全 网 路 由 选择 的 目的 。 路 由 选择 协议 的 选择 是 网 络 设 计 中 的 重要 内 容 ， 直 接 
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决定 了 网 络 的 连通 性 、 稳 定性 。 
2.5.7.1 ”路 由 协议 选择 原则 


1. 路 由 协议 类 型 选择 

路 由 选择 协议 分 为 两 大 类 : 距离 向 量 协议 和 链 路 状态 协议 ， 这 两 种 协议 的 特征 在 前 
述 章节 已 经 进行 了 介绍 。 网 络 设计 人 员 可 以 依据 以 下 的 条 件 在 两 种 类 型 中 进行 选择 。 

当 满 足下 列 条 件 时 ， 可 以 选择 使 用 距离 向 量 路 由 选择 协议 : 

。 网 络 使 用 一 种 简单 的 、 扁 平 的 结构 ， 不 需要 层次 化 设计 。 

。 网 络 使 用 的 是 简单 的 中 心 辐射 状 结构 。 

。 管理 人 员 缺 乏 对 路 由 协议 的 了 解 ， 路 由 操作 能 力 差 。 

。 收敛 时 间 对 网 络 的 影响 较 小 。 

当 满 足下 列 条 件 时 ， 可 以 选择 使 用 链 路 状态 路 由 选择 协议 : 

。 网 络 采用 层次 化 设计 ， 尤 其 是 大 型 网 络 。 

。 管理 员 对 链 路 状态 路 由 协议 理解 较 深 。 

。 快速 收敛 对 网 络 的 影响 较 大 。 

2. 路 由 选择 协议 度量 

当 网 络 中 存在 多 条 路 径 时 ， 路 由 协议 使 用 度量 值 来 决定 使 用 哪 条 路 径 。 不 同 的 路 由 
选择 协议 的 度量 值 是 不 同 的 ， 传 统 协议 以 路 由 器 的 跳 数 作为 度量 值 ， 新 一 代 的 协议 还 将 
参考 延迟 、 带 宽 、 可 靠 性 及 其 他 因素 。 

对 度量 值 存在 着 两 个 方面 的 考虑 ， 一 是 对 度量 值 的 限制 设 定 ， 例 如 如 果 设 定 基 于 跳 
数 路 由 协议 的 有 效 路 径 度 量 值 必须 小 于 16, 这 些 度量 值 的 设 定 直接 决定 了 网 络 的 连通 性 
和 效率 ; 二 是 多 个 路 由 协议 共存 时 的 度量 值 转换 ， 路 由 器 上 可 能 会 运行 多 个 协议 ， 不 同 
的 路 由 协议 对 路 径 的 度量 值 不 同 ， 设 计 人 员 需 要 建立 起 不 同 度量 值 之 间 的 映射 关系 ， 让 
多 个 协议 之 间 相 互补 充 。 

3. 路 由 选择 协议 顺序 

路 由 器 上 可 能 会 存在 多 个 不 同 的 路 由 协议 ， 针 对 一 个 目标 网 络 ， 这 些 路 由 协议 都 会 
选举 出 具有 最 小 度量 值 的 路 径 ， 但 是 不 同 协议 的 度量 值 不 同 ， 可 比较 性 较 小 。 设 计 人 员 
建立 的 协议 度量 值 的 转换 关系 只 是 用 于 不 同 路 由 协议 之 间 的 路 由 补充 ， 不 能 用 于 具体 路 
径 的 选择 。 
因此 , 设计 人 员 可 以 在 网 络 中 运行 多 个 路 由 选择 协议 , 并 约定 这 些 协议 之 间 的 顺序 ， 
这 些 顺序 可 以 用 路 由 协议 权 值 来 表示 ， 权 值 最 小 的 协议 顺序 越 靠 前 ,一旦 多 个 路 由 协议 
都 选举 出 了 最 优 路 径 ， 则 具有 最 小 权 值 的 路 由 协议 的 路 径 生 效 。 

4. 层次 化 与 非 层次 化 路 由 选择 协议 

路 由 协议 从 层次 化 角度 可 以 分 为 支持 和 不 支持 两 种 ， 在 非 层次 化 协议 中 ， 所 有 路 由 
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器 的 角色 都 是 一 样 的 ， 层 次 化 协议 中 ， 不 同 路 由 器 的 角色 不 同 ， 需 要 处 理 的 路 由 信息 量 
也 不 同 。 

对 于 采用 层次 化 设计 的 网 络 来 说 ， 最 好 采用 层次 化 路 由 选择 协议 。 

5. 内 部 与 外 部 路 由 选择 协议 

路 由 协议 根据 自治 区 域 的 划分 以 及 作用 ， 可 以 分 为 内 部 网 关 协 议和 外 部 网 关 协 议 ， 
设计 人 员 需 要 选择 正确 的 、 合 适 的 协议 类 型 ; 例如 对 于 内 部 网 关 协 议 , 较为 常见 的 是 RIP、 
OSPF、IGRP， 对 于 外 部 网 关 协 议 ， 多 选择 BGP 协议 。 

6. 分 类 与 无 类 路 由 选择 协议 

分 类 与 无 类 路 由 协议 的 选择 在 前 文中 已 经 进行 了 介绍 ， 是 进行 网 络 路 由 设计 时 必须 
考虑 的 内 容 。 

7. 静态 路 由 选择 协议 

静态 路 由 指 手工 配置 并 且 不 依赖 于 路 由 选择 协议 进行 更 新 的 路 由 ， 静 态 路 由 经 常用 
于 连接 一 个 末梢 网 络 ， 也 就 是 指 只 能 通过 一 条 路 径 到 达 的 网 络 部 分 ， 静 态 路 由 的 最 常见 
的 使 用 方法 就 是 默认 路 由 。 网 络 设计 人 员 应 该 对 设计 网 络 中 的 末梢 网 络 进行 区 分 ， 并 设 
定 这 些 末 梢 网 络 的 默认 路 由 。 

静态 路 由 一 般 情况 下 要 比 其 他 动态 路 由 协议 级 别 高 ， 也 就 是 说 即使 通过 动态 路 由 协 
议 选 举 出 一 条 最 优 路 径 ， 数 据 包 仍然 会 依据 静态 路 由 制定 的 路 径 进 行 传递 ， 因 此 设计 人 
员 需 要 根据 实际 需要 来 确定 静态 路 由 选择 协议 的 范围 ， 以 免 使 得 动态 路 由 协议 失效 。 

最 后 ， 静 态 路 由 信息 可 以 导入 到 动态 路 由 选择 协议 形成 的 路 由 表 项 中 ， 形 成 路 由 信 
息 的 互补 关系 。 


2.5.7.2 ”内 部 网 关 协 议 一 一 OSPF 


OSPF 协议 是 典型 的 、 应 用 最 广 的 内 部 网 关 协 议 ， 该 协议 为 层次 化 、 无 类 路 由 选择 
协议 ， 在 前 文中 已 经 对 OSPF 的 相关 概念 进行 了 介绍 ， 以 下 是 OSPF 协议 的 一 些 常见 应 
用 规则 ， 在 实际 应 用 中 可 根据 需要 进行 调整 。 

1. OSPF Router ID 

原则 上 采用 网 络 设备 的 loopback 0 或 loopback 1 (考虑 到 某 些 厂商 设备 在 不 支持 
loopback 0 时 采用 loopback 1) 的 接口 地 址 作为 设备 的 Router ID。Router ID 应 统一 规划 ， 
作为 路 由 域内 该 设备 的 唯一 地 址 标识 以 及 管理 地 址 。 

2. OSPF 时 间 参 数 

。 Hello 包间 隔 时 间 为 1s。 

相 邻 路 由 器 间 失 效 时 间 为 3s。 
LSA 更 新 报 文 时 间 为 1s。 

邻接 路 由 器 重 传 LSA 的 间隔 为 5s。 
OSPF 的 SPF 计算 间隔 为 5s。 
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。 外 部 路 由 引入 采用 OE1 方式 〈 即 到 外 部 路 由 的 花费 值 = 本 路 由 器 到 相应 的 ASBR 
的 花费 值 +ASBR 到 该 路 由 目的 地 址 的 花费 值 )， 原 则 上 只 引入 需要 发 布 的 路 由 ; 
域 间 路 由 条 目的 发 布 只 发 布 域 汇 总 路 由 信息 (路 由 条 目 三 4 条 )。 
。 采用 MDS5 对 报 文 (接口 、 区 域 》 验 证 。 
3. OSPF COST 
COST 为 OSPF 协议 的 度量 值 ， 可 以 根据 连接 的 带宽 设 定 不 同 链 路 的 COST 值 ， 
表 2-16 是 对 常见 链 路 带宽 的 COST 值 设 定 ， 可 根据 设计 人 员 的 工程 经 验 进行 调整 。 


表 2-16 常见 带宽 链 路 COST 值 设 定 


带宽 或 链 路 COST 值 
10Gbps 或 SDH STM-64 
2.5Gbps 或 SDH STM-16 本 
1Gbps 8 
155Mbps 或 STM-1 50 
100Mbps 80 
10Mbps 800 
4*El 1000 
El 4000 


4. OSPF DR 与 BDR 

OSPF DR 与 BDR 选择 应 遵循 以 下 规则 : 

。 应 手动 指定 ， 上 级 设备 为 DR。 

。 OSPF 接口 上 所 有 网 络 类 型 均 配 置 为 广播 。 

。 OSPF 区 域 支持 报 文 验证 。 

。 ABR 与 ASBR 应 自 项 向 下 通过 第 5 类 LSA 发 布 默认 路 由 。 

。 在 核心 路 由 器 上 建议 配置 OSPF 路 由 过 滤 ， 包 含 对 引入 和 发 布 的 路 由 都 需要 过 滤 
(推荐 配置 策略 只 允许 合法 路 由 条 目 发 布 和 接受 )。 

。 禁止 loopback 接口 发 送 OSPF 报 文 。 

。 禁止 采用 OSPF 虚 连 接 的 方式 连接 区 域 。 


2.5.7.3 ”外 部 网 关 协 议 一 一 BGP 


BGP 是 典型 的 外 部 网 关 协 议 , 也 是 应 用 最 广 的 外 部 网 关 协 议 , 在 前 文中 已 经 对 BGP 
的 相关 概念 进行 了 介绍 , 以 下 是 BGP 协议 的 一 些 常见 应 用 规则 , 在 实际 应 用 中 可 根据 需 
要 进行 调整 。 

1. BGP 对 等 体 

。 对 不 同 对 等 体 组 应 定义 易于 记忆 、 无 歧义 的 组 名 。 
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。 建议 不 要 将 BGP 对 等 体 和 EBGP 对 等 体 加 入 同一 个 组 中 。 


2. BGP 时 间 参 数 
。 BGP Keepalive 报 文 的 发 送 时 间 间 隔 为 Ss。 
保持 定时 器 为 15s。 


不 允许 同 不 直接 相连 网 络 上 的 EBGP 对 等 体 (组 ) 建立 连接 。 


IBGP 对 等 体 (组) 发 送 路 由 更 新 报 文 的 时 间 间 隔 为 1s。 


。 EBGP 对 等 体 (组) 发 送 路 由 更 新 报 文 的 时 间 间 隔 企业 网 内 部 为 Ss， 企 业 网 外 部 


为 30s。 
3. BGP 本 地 优先 级 


BGP 要 求 配置 本 地 优先 级 属性 ， 本 地 优先 级 的 值 为 100。 


4. BGP MED 


由 多 个 AS 构成 的 层次 模型 中 ， 下 级 AS 到 上 级 互 连 MED 值 为 1， 同 级 间 AS 互 连 


MED 值 为 0 (MED 值 小 的 优先 级 高 )。 
5. BGP 联盟 
一 个 IBGP 域内 只 能 存在 一 个 联盟 并 且 联 盟 ID 号 与 A 
6. BGP 同步 
建议 关闭 BGP 与 IGP 的 同步 。 
7. BGP 路 由 发 布 


S 号 保持 一 致 。 


只 在 做 MPLS-VPN 时 BGP 与 IGP 进行 交互 ， 原 则 上 只 允许 在 PE 设备 上 交互 。 


8. BGP 路 由 过 滤 


在 BGP 接受 路 由 信息 时 需要 做 基于 IP 前 组 的 路 由 过 滤 。 


9. 静态 路 由 


为 避免 路 由 环 路 的 生成 ， 对 已 部 署 动态 路 由 的 连接 关系 ， 不 允许 在 动态 路 由 部 署 的 


连接 关系 上 重复 部 署 静态 路 由 。 
2.5.8 ”网 络 管理 


网 络 管理 并 不 是 单纯 的 技术 工作 ， 而 是 行政 管理 工作 与 技术 管理 共同 组 成 的 复杂 
体 。 在 目前 网 络 管理 技术 快速 发 展 的 同时 ， 行 政 管 理 明 显 出 现 了 滞后 的 现象 ， 导 致 网 络 
运行 故障 的 原因 很 大 一 部 分 并 不 是 来 自 于 网 络 管理 技术 上 的 漏洞 ， 而 是 来 自 于 行政 管理 


上 的 朴 忽 或 错误 。 


在 进行 网 络 设计 时 ， 为 加 强 网 络 管理 工作 的 有 效 性 ， 应 将 网 络 的 管理 手段 分 为 两 大 


类 ， 分 别 是 行政 管理 和 技术 管理 ， 其 中 技术 管理 又 依据 管 
(传输 管理 系统 )、NMS〔 网 络 管理 系统 )、RMS (资源 管理 
统 )。 网 络 管理 手段 的 构成 情况 如 图 2-68 所 示 。 


理 技术 的 层次 性 划分 为 TMS 
系统 ) 和 AMS 〈 应 用 管理 系 
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行政 管理 手段 
TMS (传输 管理 系统 ) 


NMS (网 络 管理 系统 ) 
技术 管理 手段 
RMS (资源 管理 系统 ) 


AMS〔 应 用 管理 系统 ) 


图 2-68 ”网络 管理 手段 构成 


2.5.8.1 ”行政 管理 手段 


通常 情况 下 网 络 管理 中 心 是 企业 网 络 管理 、 维 护 的 核心 部 门 ， 在 网 络 管理 中 心 设计 
和 建立 完善 的 行政 管理 制度 是 保证 网 络 平台 稳定 运行 的 关键 。 

1. 机 构 设置 

典型 的 网 络 管理 中 心 由 办 公 室 、 网 络 运行 室 (NOC)、 网 络 信息 室 (NIC) 三 个 机 构 
构成 ， 设 立 网 络 中 心 主任 、 副 主任 、 秘 书 、 网 络 管理 员 、 网 络 信息 员 等 多 个 岗位 ， 其 常 
见 的 机 构 组 成 情况 如 图 2-69 所 示 , 设计 人 员 可 以 参照 形成 不 同 网 络 平台 的 网 管 中 心 组 织 
结构 。 


由 全 斗 


主任 ” 副 主 任 。 秘书 。 网 络 管理 员 网 络 信息 员 


图 2-69 网 络 管理 中 心 常见 组 织 机 构 


2. 岗位 职责 
设计 人 员 在 进行 主要 岗位 职责 设计 时 ， 可 以 参照 以 下 内 容 进行 岗位 职责 设计 。 
(1) 主任 职责 : 负责 处 理 信 息 网 络 中 心 重大 事项 。 
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组 织 编制 网 络 信息 化 建设 规划 。 
审核 、 批 准 网 管 中 心 的 日 常 开支 。 
批阅 上 级 来 文 ， 交 相关 人 员 处 理 。 
负责 信息 网 管 中 心 的 人 事 与 工 作 安排 。 
协调 与 有 关 领 导 、 有 关 职 能 部 门 的 关系 。 
完成 领导 交办 的 其 他 工作 。 
(2) 副 主任 职责 : 主持 网 管 中 心 的 日 常 工 作 ， 协 助 主任 处 理 信 息 网 络 中 心 的 重大 
事项 。 


主持 网 管 中 心 业务 发 展 工作 。 
编制 年 度 的 信息 建设 发 展 规划 。 
编制 年 度 的 网 络 建设 计划 。 
制订 有 关 信 息 和 网 络 方面 的 重要 规章 制度 、 管 理 规范 和 信息 标准 。 
主持 制订 信息 建设 项 目的 规划 、 建 设 和 管理 。 
主持 企业 网 络 重 要 建设 项 目的 规划 、 设 计 、 建 设 和 管理 。 
根据 有 关 规 定 和 网 管 中 心 的 需要 ， 拟 订 有 关 的 招标 、 评 标 文件 。 
对 外 联系 与 内 部 协调 。 
(3) 网 络 管理 员 职 责 : 负责 网 络 平台 的 系统 管理 与 维护 ， 确 保 网 络 安全 、 高 效 、 稳 
定 地 运行 。 
。 网 络 基础 设施 管理 ， 包 括 负责 网 络 主干 设备 的 安装 与 维护 ， 掌 握 网 络 主干 设备 的 
配置 情况 及 配置 参数 变更 情况 ， 及 时 备份 各 个 设备 的 配置 文件 等 。 
系统 监控 ， 包 括 了 解 和 记录 与 外 部 网 络 的 连通 情况 ， 实 时 监控 整个 网 络 平台 的 运 
行 和 网 络 通信 流量 情况 ， 对 出 现 的 问题 及 时 汇报 并 采取 相关 措施 解决 等 。 

。 网 络 设备 的 端口 管理 ， 包 括 了 解 和 记录 用 户 设备 接 入 网 络 的 情况 ， 对 发 现 的 问题 
及 时 定位 和 处 理 ， 及 时 更 新 用 户 变更 数据 等 。 

。 网 络 服务 器 管理 ,包括 安装 和 管理 所 需 的 网 络 操作 系统 ,管理 和 维护 DNS、E-mail、 
数据 库 等 相关 服务 器 ， 随 时 了 解 和 记录 系统 配置 情况 及 配置 参数 变更 情况 ， 并 对 
配置 参数 进行 备份 等 。 

。 网 络 安全 管理 ， 包 括 网 络 安全 与 保密 软 硬 件 管理 ， 采 取 各 种 有 效 措施 防止 病毒 、 
非 授权 用 户 的 入 侵 和 设备 配置 密码 的 泄露 ， 及 时 更 新 操作 系统 的 补丁 ， 封 堵 各 种 
网 络 设备 配置 的 漏洞 等 。 

。 JP 地址 资源 的 分 配 与 管理 ， 形 成 完整 的 维护 文档 。 

。 设备 资料 的 管理 工作 。 

。 网 络 分 担 交 费 与 查询 工作 。 

(4) 网 络 信息 员 职 责 : 负责 企业 内 外 门户 的 建设 与 维护 ， 面 向 各 类 用 户 提供 信息 服 

务 、 信 息 处 理 与 统计 等 。 
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负责 企业 内 外 门户 的 信息 更 新 。 

负责 门户 网 站 的 设计 、 建 设 与 维护 。 

开发 和 建设 公共 服务 信息 管理 系统 ， 提 供 公共 服务 信息 的 发 布 、 查 询 等 功能 。 
相关 系统 数据 的 备份 与 恢复 。 

面向 企业 各 行政 部 门 提供 Web 服务 器 空间 租用 、 虚 拟 主机 、 服 务 器 托管 等 信息 服 
务工 作 。 

电子 邮件 账号 管理 ， 提 供 包 括 开 户 、 修 改 、 暂 停 、 注 销 等 服务 。 
企业 网 络 用 户 管理 。 

.管理 制度 


为 配合 网 管 中 心 工作 人 员 实 施 网 络 管理 ， 同 时 通过 制度 化 保证 管理 的 力度 与 效果 ， 
网 络 管理 中 心 还 必须 制定 各 项 管理 制度 ， 其 主要 内 容 包 括 : 


《网 络 管理 中 心 值班 制度 》 

《网 络 管理 中 心 出 入 人 员 管 理 制度 》 
《网 络 管理 中 心 密码 管理 制度 》 

《网 络 管理 中 心安 防 制 度 》 

《网 络 管理 中 心 设备 管理 制度 》 

《网 络 管理 中 心 用 户 管理 制度 》 

《网 络 管理 中 心 设备 配置 与 维护 制度 》 
《网 络 管理 中 心服 务 器 配置 与 维护 制度 》 
《网 络 管理 中 心 故障 申报 与 处 理 制度 》 
《网 络 管理 中 心 操作 规范 》 

《网 络 管理 中 心 工作 考核 制度 》 

《网 络 管理 中 心 技术 考核 制度 》 

《网 络 管理 中 心 紧 急事 故 处 理 预案 》 


2.5.8.2 ”传输 管理 系统 


传输 管理 系统 CTMS) 是 网 络 平台 传输 线路 管理 的 主要 管理 工具 ， 随 着 网 络 规模 的 
发 展 ， 连 接 的 远程 分 支 也 逐步 增多 ， 在 一 个 大 型 网 络 中 ， 大 量 的 传输 线路 构成 了 网 络 的 
基础 ， 而 TMS 就 是 对 这 些 传输 线路 进行 管理 的 系统 ， 这 些 系统 含有 对 光纤 资源 、SDH 
电路 等 物理 或 逻辑 线路 状态 、 参 数 等 的 实时 管理 与 监控 。 

传输 管理 系统 必须 借助 于 专业 的 信 令 网 络 ， 并 且 投 资 较 大 ， 作 为 企业 网 管 中 心 这 样 
的 非 营利 性 机 构 ， 是 无 法 建设 如 此 规模 的 传输 管理 系统 的 ; 常见 的 建设 方式 是 由 网 络 
平台 的 线路 提供 商 向 企业 网 络 管理 中 心 提供 TMS 管理 终端 或 者 相应 的 开发 包 ， 集 成 
商 技术 人 员 在 此 基础 上 形成 相应 的 定制 管理 终端 ， 由 企业 网 络 管理 人 员 在 终端 上 实施 


管理 。 
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2.5.8.3 ”网 络 管理 系统 


网 络 管理 系统 (NMS) 是 较为 经 典 的 网 络 管理 方式 ,在 ISO 组 织 规定 的 网 络 管理 基 
本 功能 中 ， 网 络 管理 功能 被 划分 为 配置 管理 、 安 全 管理 、 故 障 管理 、 费 用 管理 和 性 能 管 
理 五 大 部 分 ， 目 前 基于 网 管 协议 SNMP- I 、SNMP-I 和 SNMP-IH 的 网 络 管理 产品 已 经 
十 分 成 熟 ,已 经 涌现 出 HP 的 OpenView、Sun 的 SNM、IBM 的 NetView、Cisco 的 CiscoWorks 
等 应 用 较 广 的 网 络 管理 产品 。 

设计 人 员 应 根据 网 络 管理 员 的 需求 进行 NMS 产品 的 设计 ， 大 多 数 网 络 平台 对 网 络 
管理 系统 产品 都 有 如 下 的 功能 需求 : 

(1) 能 自动 发 现 网 络 拓扑 结构 的 变化 。 

(2) 能 够 自动 搜索 网 络 设备 ， 并 根据 搜索 结果 分 析 网 络 结构 。 

(3) 能 够 管理 多 种 网 络 设备 ， 能 够 管理 异 构 网 络 。 

(4) 至 少 支 持 SNMP- 工 、SNMP-I、SNMP-II 管 理 协 议 。 

(5) 具有 图 形 化 操作 界面 ， 交 互 性 好 。 

(6) 可 以 定义 定时 器 ， 定 期 查询 网 络 设备 的 MIB 对 象 。 

(7) 可 以 定义 基于 MIB 对 象 的 事件 ， 在 MIB 对 象 的 参数 值 达到 一 定 阔 值 后 触发 事 
件 发 生 ， 并 以 多 种 形式 通知 网 络 管理 员 〈 电 子 邮件 、 声 音 提 示 、 屏 幕 闪烁 )。 

(8) 采用 分 布 式 设计 ， 网 络 平台 中 可 以 存在 多 个 管理 工作 站 ， 并 且 这 些 工作 站 之 间 
具有 管理 上 的 层次 性 。 

(9) 可 支持 将 MIB、 日 志 、 审 计 等 数据 以 多 种 形式 存放 ， 例 如 文本 文件 、 多 种 网 络 
数据 库 产 品 等 。 

(10) 在 Windows、UNIX 等 多 种 操作 系统 中 都 有 相应 的 产品 系列 。 

(11) 支持 B/S 的 网 络 管理 方式 。 


2.5.8.4 ”资源 管理 系统 


综合 资源 管理 就 是 要 建立 一 个 完整 的 网 络 视图 ， 包 括 传输 网 络 、 信 令 网 络 和 数据 网 
络 ， 同 时 能 体现 各 个 网 络 之 间 的 关联 关系 ; 系统 能 管理 网 络 资源 和 地 理 信息 之 间 的 关联 
关系 ， 操 作 人 员 很 方便 地 了 解 网 络 资源 在 地 理 上 的 分 布 情况 ， 还 包括 机 房 、 管 线 等 非 智 
能 的 设备 等 的 视图 。 

在 网 络 层次 中 ， 网 络 资源 管理 系统 处 于 整个 网 络 运营 管理 支撑 系统 的 基础 和 核心 ， 
其 主要 功能 包括 网 络 规划 、 网 络 设计 、 网 络 资料 管理 、 网 络 资源 调度 、 工 程 施工 、 网 络 
维护 、 网 络 质量 管理 。 

网 络 资源 管理 系统 将 成 为 业务 管理 系统 运作 的 基础 ， 将 给 业务 管理 系统 〈 业 务 管理 
层 ) 提供 调用 接口 ， 主 要 是 资源 分 配 使 用 〈 调 度 ) 和 资源 查询 ， 业 务 管理 系统 将 根据 资 
源 配备 情况 进行 任务 分 配 。 
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图 2-70 是 一 个 典型 的 网 络 资源 管理 系统 的 设计 构成 图 , 设计 人 员 可 参照 形成 不 同 网 
络 工程 的 资源 管理 系统 。 


图 2-70 网络 资源 管理 系统 构成 


。 数据 层 : 基于 共享 数据 模型 进行 网 络 资源 的 数据 模型 定义 ， 并 针对 集中 数据 库 和 
分 布 式 数据 库 要 求 完 成 数据 库 的 逻辑 和 物理 设计 。 

。 支撑 平台 层 : 网 络 资源 管理 中 一 些 基本 的 操作 元 素 和 功能 模块 ， 包 括 基 础 对 象 管 
理 、 模 板 管理 、GIS 平台 、 动 态 查 询 定制 管理 等 。 

。 资源 对 象 管理 层 : 支持 话 务 网 、 传 输 网 、 信 令 网 、 支 撑 网 、 同 步 网 、 智 能 网 、 空 
间 资 源 、 短 消息 、 客 服 中 心 等 电信 全 部 网 络 资源 对 象 的 管理 ， 并 支持 各 专业 网 络 
资源 的 关联 管理 。 

。 应 用 层 : 支持 具体 业务 操作 的 组 件 ， 包 括 网 络 效率 评估 、 资 源 调度 调配 、 资 源 预 
警 分 析 等 。 

在 采用 成 熟 产品 实现 网 络 资源 管理 时 ， 所 采用 的 产品 必须 具备 以 下 功能 : 

。 跨 平台 运行 。 

。 提供 实时 的 消息 通信 机 制 。 

。 DataCache 技术 保证 资源 的 快速 访问 。 

。 集中 管理 ， 分 布 应 用 实现 资源 的 集中 管理 。 
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。 多 角度 的 资源 组 织 视图 提供 资源 显示 形式 。 
。 任意 资源 定位 、 故 障 定位 技术 ， 保 证 资源 的 快速 查询 和 定位 。 
。 提供 丰富 的 与 上 层 资源 应 用 的 接口 。 


2.5.8.5 ”应 用 管理 系统 


应 用 管理 系统 (AMS) 目前 的 概念 较为 模糊 ， 与 资源 管理 系统 有 一 定 的 重合 ， 但 是 
AMS 更 加 注重 对 用 户 服 务 的 管理 , 通过 对 运行 于 服务 器 上 的 用 户 服务 进程 实施 监视 , 来 
实现 对 应 用 资源 的 管理 。 

大 多 数 企业 网 络 的 应 用 管理 系统 必须 采用 专 有 设计 ， 应 用 管理 系统 的 主要 监控 对 象 
是 两 部 分 内 容 : 一 部 分 是 向 网 络 用 户 提供 的 各 种 Intermet、 Intranet 上 的 服务 , 例如 WWW、 
FTP、Telnet、SMTP 等 ; 一 部 分 是 网 络 平台 上 运行 的 各 类 专业 应 用 系统 ,例如 财务 系统 、 
OA 系统 、 生 产 系 统 、 销 售 系统 等 。 在 设计 方面 ， 应 用 管理 系统 应 该 采用 多 个 服务 状态 
采集 器 、 一 个 中 心 管理 工作 站 的 分 布 方式 ， 如 图 2-71 所 示 。 


集群 服务 器 NA 
收集 程序 或 小 型 机 


Ee a | | L 
集 和 


PC 服务 器 。 程序 或 模块 
[ ”] 收集 状态 请 了 


图 2-71 应 用 管理 系统 示意 图 


在 设计 应 用 管理 系统 时 ， 由 于 企业 网 络 中 运行 的 服务 除 Intemet、Intranet 上 的 通用 
服务 之 外 ， 大 多 数 都 是 专用 业务 系统 ， 所 以 必须 制定 应 用 管理 协议 ， 并 以 协议 为 基础 针 
对 各 种 通用 服务 器 和 专用 服务 分 别 开 发 出 应 用 服务 状态 收集 程序 或 模块 ， 这些 程序 运行 
于 服务 器 上 ， 不 断 收集 服务 进程 的 状态 ， 并 通过 网 络 提交 给 应 用 管理 工作 站 ;应 用 管理 
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工作 站 在 收 到 状态 报告 后 ， 根 据 状态 异常 统计 、 模 式 匹 配 等 方法 发 现 应 用 系统 的 非 正常 
状态 ; 在 发 现 服务 处 于 非 正常 状态 后 ， 通 过 短信 、 报 警 等 多 种 方式 通知 管理 员 。 


2.5.9 ”网 络 安全 


网 络 安全 体系 设计 是 逻辑 设计 工作 的 重要 内 容 之 一 ， 在 设计 网 络 体系 时 存在 多 种 安 
全 架构 模型 ， 本 章节 将 依据 图 2-72 的 安全 架构 模型 进行 网 络 安全 体系 设计 的 介绍 。 


安全 信任 体系 


如 


系统 
安全 


洪 弃 水 顷 请 疝 
册 族 壮 翌 
上 让 型 


注 访 灿 六 了 遇 和 项 兴 


安全 管理 体系 


图 2-72 安全 体系 总 体 安全 架构 


该 安全 体系 的 特点 如 下 : 

。 以 人 为 本 的 安全 管理 体系 是 整个 安全 架构 的 基础 ， 使 安全 问题 可 控 可 管 。 

。 以 安全 技术 为 核心 的 技术 措施 (包括 机 房 及 物理 线路 安全 、 网 络 安全 、 系 统 安全 、 
应 用 安全 、 安 全 信任 体系 等 )， 使 安全 手段 更 加 可 靠 。 

。 以 容 灾 与 恢复 为 目标 的 后 备 保障 措施 ， 可 以 对 付 重 大 灾难 性 事件 后 的 网 络 重建 。 

。 以 安全 运 维 支持 服务 作为 外 部 支撑 条 件 ， 使 安全 问题 能 够 及 时 有 效 地 解决 。 


2.5.9.1 ”机房 及 物理 线路 安全 


机 房 及 物理 线路 安全 主要 是 指 存放 、 支 撑 网 络 设备 运行 的 物理 环境 设施 及 物理 线路 
情况 。 

1. 机 房 安 全 

机 房 、UPS 电源 、 监 控 等 场地 设施 和 周围 环境 及 消防 安全 ， 应 符合 国家 相关 标准 ， 
并 满足 网 络 平台 运行 的 要 求 ， 例 如 7X24 小 时 运行 或 5X8 小 时 运行 。 

机 房 的 安全 措施 应 符合 GB/T 9361 一 1988、GB/T 2887 一 1989 的 要 求 。 
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2. 物理 线路 安全 

1) 计算 机 通信 线路 安全 

计算 机 通信 线路 是 实现 数据 传输 的 物理 线路 , 包括 网 线 、 光 纤 等 。 应 符合 以 下 要 求 : 

。 通信 线路 采用 铺设 或 租用 专线 方式 建设 。 

。 通信 线路 应 远离 强 电磁 场 辐射 源 ， 埋 于 地 下 或 采用 金属 套 管 。 

。 定期 测试 信号 强度 ， 以 确定 是 否 有 非法 装置 接 入 线路 ; 特别 是 在 线路 附近 有 新 的 
网 络 架 设 、 电 磁 企 业 开 工时 ， 应 该 请 专业 机 构 负责 检测 。 

。 定期 检查 接线 盒 及 其 他 易 被 人 接近 的 线路 部 位 ， 防 止 非法 接 入 或 干扰 。 

2) 骨干 线路 元 余 防护 

上 骨干 线路 元 余 防护 应 符合 以 下 要 求 : 

。 骨干 线路 或 重要 的 节点 与 网 络 平台 相连 ， 应 有 元 余 线路 和 环形 路 由 措施 。 

。 骨干 线路 的 网 络 设备 应 有 宛 余 电源 配置 ， 保 障 线路 正常 运转 。 

。 重要 部 门 重要 业务 系统 所 属 的 相关 线路 ， 应 建立 元 余 或 环形 路 由 措施 。 

。 大 型 网 络 的 互联 网 出 口 线路 应 建立 元 余 线路 并 以 负载 均衡 的 方式 运行 。 

3) 骨干 线路 和 主要 设备 的 防 雷击 措施 

计算 机 通信 线路 骨干 线路 和 核心 设备 ， 应 该 具备 防 雷 击 的 措施 。 


2.5.9.2 ”网 络 安全 


1. 安 全域 划分 

网 络 平台 安全 域 通常 可 以 划分 为 :核心 局 域 网 安全 域 、 部 门 网 络 安 全 域 、 分 支 机 构 
网 络 安全 域 、 异 地 备 灾 中 心安 全 域 、 互 联网 门户 网 站 安全 域 、 通 信 线 路 运营 商 广域网 安 
全 域 等 ， 另 外 ， 核 心 局 域 网 安全 域 又 可 以 划分 为 中 心服 务 器 子 区 、 数 据 存 储 子 区 、 托 管 
服务 器 子 区 、 核 心 网 络 设备 子 区 、 线 路 设备 子 区 等 多 个 子 区 域 ， 在 实际 的 网 络 工程 中 ， 
设计 人 员 可 根据 需要 自行 进行 安全 域 的 划分 。 

2. 边界 安全 策略 

1) 边界 安全 总 体 策略 

网 络 的 边界 安全 访问 总 体 策 略为 : 允许 高 安全 级 别 的 安全 域 访问 低级 别 的 安全 域 ， 
限制 低级 别 的 安全 域 访问 高 安全 级 别 的 安全 域 ， 不 同安 全 域内 部 分 区 进行 安全 防护 ， 做 
到 安全 可 控 。 

下 列 设计 规则 将 依据 常见 的 安全 区 域 方法 ， 对 主要 的 边界 规则 进行 介绍 。 

2) 核心 网 络 与 互联 网 的 边界 

核心 网 络 与 互联 网 的 边界 的 安全 措施 设计 应 符合 以 下 要 求 : 

。 应 部 署 逻 辑 隔离 措施 ， 主 要 是 防火 墙 隔离 。 

。 允许 互联 网 用 户 访 问 网 络 DMZ 区 域 的 互联 网 门户 网 站 等 相关 服务 器 的 对 外 开放 

服务 。 
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。 对 于 特殊 的 应 用 ， 人 允许 互联 网 移动 办 公公 务 员 通 过 安全 认证 网 关 访 问 位 于 DMZ 

的 业务 应 用 。 

禁止 互联 网 用 户 访问 内 部 网 络 应 用 系统 。 

关闭 网 络 病毒 相关 端口 ， 无 特殊 需要 ， 禁 止 开放 。 

应 对 进出 网 络 的 数据 流 进 行 监控 、 分 析 和 审计 。 

。 应 阻止 来 自 互联 网 的 各 种 攻击 。 

3) 核心 网 络 与 部 门 、 分 支 结构 网 络 的 边界 

核心 网 络 与 部 门 、 分 支 机 构 网 络 的 边界 安全 措施 设计 应 符合 以 下 要 求 : 

。 中 小 型 网 络 ， 不 需要 在 该 边界 添加 任何 隔离 设备 。 

。 大 型 网 络 ， 可 根据 需要 ， 添 加 逻辑 隔离 设备 〈 如 防火 墙 或 启用 了 过 滤 规 则 的 路 由 

器 ) 。 

应 对 进出 核心 局 域 网 的 数据 流 进 行 监控 。 

关闭 网 络 病毒 相关 端口 ， 无 特殊 需要 ， 禁 止 开放 。 

允许 核心 网 络 访问 部 门 或 分 支 网 络 系统 。 

禁止 核心 网 络 的 普通 终端 用 户 直 接 访 问 基础 数据 库 服 务 子 区 域 。 

。 允许 部 门 和 分 支 网 络 用 户 在 受 控 的 前 提 下 ， 访 问 核心 网 络 中 的 服务 器 资源 。 

4) 核心 网 络 与 异地 容 灾 中 心 的 边界 

核心 网 络 与 异地 容 灾 中 心 的 边界 安全 措施 设计 应 符合 以 下 要 求 : 

。 如 采用 数据 级 容 灾 ， 则 不 需要 进行 逻辑 隔离 ， 但 是 必须 保护 线路 的 物理 安全 。 

。 如 采用 应 用 级 容 灾 ， 则 可 以 添加 逻辑 隔离 设备 ， 只 人 允许 开放 远程 数据 存储 和 备份 
所 需 的 相关 服务 。 

3. 路 由 交换 设备 安全 配置 

路 由 交换 设备 的 安全 配置 应 符合 以 下 要 求 : 

。 每 台 设 备 上 要 求 安 装 经 认可 的 操作 系统 ， 并 及 时 修补 漏洞 。 

路 由 器 设置 加 长 口令 ， 网 络 管理 人 员 调 离 或 退出 本 岗位 时 口令 应 立即 更 换 。 

路 由 器 密码 不 得 以 明文 形式 出 现在 纸 制 材料 上 ， 密 码 应 隐 式 记录 ， 记 录 材 料 应 存 

放 于 保险 柜 中 。 

限制 逻辑 访问 ， 合 理 处 置 访问 控制 列表 ， 限 制 远程 终端 会 话 。 

监控 配置 更 改 ， 改 动 路 由 器 配置 时 ， 进 行 监控 。 

定期 备份 配置 和 日 志 。 

明确 责任 , 维护 人 员 对 更 改 路 由 器 配置 的 时 间 、 操 作 方 式 、 原因 和 权限 需要 明确 ， 

在 进行 任何 更 改 之 前 ， 制 定 详细 的 逆序 操作 规程 。 

4. 防火 墙 安全 配置 

在 不 同 的 安全 域 之 间或 安全 域内 部 不 同安 全 级 别 的 子 区 域 之 间 可 根据 需要 部 署 防 


火 墙 ， 防火墙 的 安全 配置 与 路 由 交换 设备 基本 相同 ， 但 是 需要 添加 一 项 内 容 一 一 防火 墙 
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产品 应 有 国家 相关 安全 部 门 的 证 书 。 
S. 网 闸 安全 配置 
网 络 中 如 存在 安全 级 别 较 高 的 区 域 ， 则 可 以 通过 网 闸 设 备 实施 隔离 ， 同 时 ， 网 闸 隔 
离 尤其 适用 于 工作 性 质 较 为 特殊 的 单位 ， 其 内 部 网 络 中 含有 一 定 的 敏感 信息 ， 可 以 通过 
网 闸 在 受 控 的 情况 下 与 外 部 网 进行 连接 。 
网 闸 的 安全 配置 要 求 同 防火 墙 。 
6. 入 侵 检 测 安全 配置 
入 侵 检测 应 符合 以 下 要 求 : 
。 中 大 型 网 络 平台 应 部 署 基于 网 络 的 入 侵 检测 系统 (NIDS)。 
。 网 络 入 侵 检测 系统 应 对 核心 局 域 网 、DMZ 区 域 进行 检测 。 
。 如 需要 对 大 型 网 络 的 部 门 、 分 支 机 构 网 络 进 行 入 侵 检 测 ， 应 采用 分 布 式 方式 部 署 
入 侵 检 测 系 统 。 
。 入 侵 检测 产品 应 有 国家 相关 安全 部 门 的 证 书 。 
。 监控 配置 更 改 ， 改 动 入 侵 检测 系统 配置 时 ， 进 行 监控 。 
。 定期 备份 配置 和 日 志 。 
。 入 侵 检 测 系统 设置 加 长 口令 。 
。 如 采用 分 布 式 部 署 方式 ， 各 级 入 侵 检 测 系 统 宜 采 用 分 级 管理 方式 进行 管理 。 
7. 抗 DDoS 攻击 安全 配置 
抗 DDoS 攻击 应 符合 以 下 要 求 : 
。 网 络 平台 应 针对 其 对 外 提供 服务 的 区 域 ， 例 如 DMZ 区 域 部 署 抗 DDoS 设备 。 
。 抗 DDoS 攻击 一 般 不 部 署 于 核心 网 络 ， 而 是 部 署 于 网 络 边界 。 
。 对 于 大 型 网 络 ， 可 以 采用 独立 的 抗 DDoS 攻击 设备 ， 中 小 型 网 络 可 以 采用 带 有 抗 
DDoS 攻击 模块 的 防火 墙 或 路 由 器 产品 。 
8. 虚拟 专用 网 VPN) 功能 要 求 
无 论 是 企业 网 络 内 多 个 局 域 网 的 VPN 互 连 ， 还 是 提供 外 部 网 络 用 户 访问 内 部 网 络 
的 VPN 网 关 ， 其 技术 要 求 都 必须 包括 以 下 内 容 : 
。 应 提供 灵活 的 VPN 网 络 组 建 方式 ， 支 持 IPSec VPN 和 SSL VPN， 保 证 系统 的 兼 
容 性 。 
。 支持 多 种 认证 方式 : 支持 用 户 名 + 口令 、 证 书 、USB+ 证 书 + 口令 三 因素 等 认证 
方式 。 
支持 隧道 传输 保障 技术 ， 可 以 穿越 网 络 和 防火 墙 。 
支持 网 络 层 以 上 的 BPS 和 C/S 应 用 。 
必须 能 够 为 用 户 分 配 专用 网 络 上 的 地 址 并 确保 地 址 的 安全 性 。 
对 通过 互联 网 络 传递 的 数据 必须 经 过 加 密 ， 确 保 网 络 其 他 未 授权 的 用 户 无 法 读 取 
该 信息 。 
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。 应 能 提供 审计 功能 。 

9. 流量 管理 部 署 与 功能 要 求 

在 带宽 资源 较为 紧张 的 网 络 线路 上 ， 应 可 调节 网 上 各 应 用 类 型 的 数据 流量 ， 调 整 和 
限定 带宽 ， 保 证 重要 应 用 系统 的 网 络 带宽 。 通 常情 况 下 ， 流 量 管理 设备 部 署 于 内 部 网 络 
与 互联 网 或 者 外 部 网 络 的 出 口 处 。 流 量 管理 应 符合 以 下 要 求 : 

。 提供 基于 卫 的 总 流量 的 控制 。 

。 提供 多 时 段 的 网 络 流量 统计 分 析 。 

。 提供 网 络 实时 负载 分 析 。 

。 提供 关键 业务 流 的 实时 流量 监控 。 

。 提供 应 用 流量 带宽 分 配 与 控制 。 

。 提供 用 户 分 组 管理 ， 实 现 基 于 IP 和 基于 用 户 的 管理 。 

10. 网 络 监控 与 审计 部 署 与 功能 要 求 

网 络 监控 与 审计 应 符合 以 下 要 求 : 

。 应 在 核心 网 络 中 部 署 网 络 监控 系统 ， 采 集 和 监控 网 络 中 的 流量 和 事件 、 设 备 运行 
状况 等 信息 ， 通 过 对 这 些 信息 的 分 析 发 现 异 常事 件 。 
应 实现 对 监控 事件 的 实时 性 响应 和 多 种 方式 的 报警 功能 。 
应 实现 对 相关 事件 的 关联 处 理 、 分 析 能 力 ， 实 现 对 不 良 事件 的 应 急 处 理 能 力 。 
应 对 异常 事件 及 其 处 理 进行 审计 。 
提供 对 于 审计 中 的 异常 信息 建立 相关 的 处 理 流程 。 
11. 访问 控制 网 络 监控 与 审计 部 署 与 功能 要 求 
访问 控制 应 符合 以 下 要 求 : 
。 应 在 网 络 边界 部 署 访问 控制 设备 ， 启 用 访问 控制 功能 。 
。 应 能 根据 会 话 状态 信息 为 数据 流 提供 明确 的 允许 /拒绝 访问 的 能 力 , 控制 粒度 为 端 
口 级 。 
应 对 进出 网 络 的 信息 内 容 进行 过 滤 , 实现 对 应 用 层 HTTP、FTP、TELNET、 SMTP、 
POP3 等 协议 命令 级 的 控制 。 
应 在 会 话 处 于 非 活跃 一 定时 间或 会 话 结束 后 终止 网 络 连接 。 
应 限制 网 络 最 大 流量 数 及 网 络 连接 数 。 
重要 网 段 应 采取 技术 手段 防止 地 址 欺骗 。 
应 按 用 户 和 系统 之 间 的 允许 访问 规则 ， 决 定 允 许 或 拒绝 用 户 对 受 控 系统 进行 资源 
访问 ， 控 制 粒度 为 单个 用 户 。 
。 严格 限制 拨号 用 户 对 网 络 不 同 区 域 的 访问 。 


2.5.9.3 ”系统 安全 


1. 身份 认证 
身份 认证 应 符合 以 下 要 求 : 
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。 登录 系统 时 应 当 进 行 身份 认证 ， 并 对 此 过 程 进行 记录 。 
应 定义 认证 尝试 允许 次 数 ， 并 通过 延长 认证 失败 超出 允许 次 数 后 再 次 允许 认证 的 
时 间 间 隔 来 限制 重复 尝试 ， 并 对 此 过 程 进行 记录 。 
。 用 于 身份 认证 的 用 户 名 和 口令 应 在 信道 中 加 密 传输 。 
。 应 当 对 登录 用 户 的 来 源 进行 控制 和 监控 。 
定期 审计 身份 认证 日 志 ， 对 发 现 的 异常 行为 进行 及 时 处 理 ， 对 累积 性 事件 进行 必 
要 的 趋势 分 析 。 
2. 账户 管理 
账户 管理 应 符合 以 下 要 求 : 
。 建立 账户 管理 制度 ， 负 责 系统 账户 的 登记 造 册 、 用 户 名 分 配 、 初 始 口令 分 配 、 用 
户 权 限 分 配 、 系 统 资源 分 配 、 账 户 注销 等 ， 并 定期 检查 系统 中 的 账户 分 配 情 况 ， 
以 及 账户 权限 设置 的 正确 性 。 
。 为 不 同 用 户 分 配 不 同 的 用 户 名 或 用 户 标识 符 ， 确 保 用 户 名 或 用 户 标识 符 具 有 唯 
一 性 。 
。 用 户 名 或 用 户 标识 符 在 系统 内 部 全 局 唯一 ， 在 用 户 名 或 用 户 标识 符 被 删除 后 ， 同 
名 用 户 名 或 用 户 标识 符 不 可 再 被 创建 。 
。 记录 用 户 的 系统 登录 活动 ， 定 期 审计 和 分 析 用 户 账户 的 使 用 情况 ， 对 发 现 的 问题 
和 异常 情况 进行 相应 处 理 。 
3. 主机 系统 配置 管理 
主机 系统 配置 应 符合 以 下 要 求 : 
。 应 使 用 正版 的 操作 系统 软件 。 
。 不 同 的 用 户 配 备 有 不 同 的 使 用 权限 。 
。 系统 的 目录 与 文件 不 能 被 远程 用 户 “ 写 /执行 ”共享 。 
。 限制 服务 器 对 外 提供 的 服务 资源 ， 服 务 器 不 要 求 使 用 的 远程 端口 应 屏蔽 /禁用 。 
。 运行 时 必须 开启 系统 日 志 与 审计 功能 。 
。 不 同 用 户 的 使 用 空间 专用 ， 且 有 磁盘 空间 限制 。 
4. 漏洞 与 补丁 发 现 系统 
网 络 平 台中 应 部 署 漏洞 与 补丁 发 现 系 统 ， 或 指定 漏洞 发 现 与 补丁 管理 机 制 。 漏 洞 发 
现 与 补丁 管理 应 符合 以 下 要 求 : 
。 应 定期 采用 专业 化 的 工具 进行 系统 漏洞 扫描 ， 及 时 发 现 漏 洞 ， 及 时 了 解 现 有 安全 
控制 措施 是 否 完备 。 
。 部 署 补丁 管理 软件 对 系统 漏洞 进行 集中 管理 和 控制 ， 自 动 发 现 并 下 载 最 新 的 补丁 
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程序 。 

。 在 有 漏洞 的 主机 上 安装 最 新 补丁 程序 ， 对 可 能 危害 计算 机 的 漏洞 进行 及 时 修补 。 

5. 内 核 加 固 

内 核 加 固 技术 可 抵御 穿 透 防火 墙 和 入 侵 检测 系统 的 黑客 攻击 ， 补 充 防火 墙 等 网 络 安 

全 设备 的 不 足 。 内 核 加 固 机 制 要 求实 现 以 下 目标 : 
。 用 户 身 份 认证 ， 实 现 系统 管理 员 、 安 全 管理 员 与 审计 管理 员 的 三 权 分 立 。 
。 区 分 用 户 的 文件 强制 访问 权限 控制 。 
。 区 分 进程 的 文件 强制 访问 权限 控制 。 
。 文件 强制 访问 权限 控制 。 
。 区 分 进程 的 进程 强制 访问 权限 控制 。 
。 文件 完整 性 保护 。 
。 服务 完整 性 保护 。 
。 服务 强制 访问 控制 。 
。 系统 日 志 的 安全 保护 。 
6. 病毒 防护 
病毒 防护 应 符合 以 下 要 求 : 
。 防 病毒 软件 的 部 署 应 该 由 点 及 面 ， 全 方位 进行 部 署 ， 彻 底 截 断 病 毒 入 侵 的 途径 。 
。 在 中 小 型 网 络 平台 中 ， 可 以 采用 扁平 化 方式 部 署 病毒 防护 系统 。 
大 型 网 络 平台 在 病毒 防护 结构 上 应 部 署 两 级 防 病毒 管理 中 心 ,采用 三 层 体系 架构 
方式 5 
两 级 病毒 管理 中 心 指 在 企业 本 部 网 络 中 建立 一 级 系统 中 心 ， 在 分 支 机 构 网 络 中 建 
立 二 级 系统 中 心 。 

。 三 层 体系 架构 指 防 病毒 系统 整体 架构 应 具有 管理 控制 中 心 、 管 理 控制 台 、 杀 病毒 
客户 端的 三 层 结构 ， 以 便 有 效 地 对 防 病毒 系统 进行 管 理 控 制 和 策略 分 发 ， 其 结构 
示意 如 图 2-73 所 示 。 

7. 桌面 安全 管理 

桌面 安全 管理 应 强化 对 计算 机 终端 状态 、 行 为 以 及 事件 的 管理 ， 对 网 络 上 的 每 台 计 

算 机 设备 实施 有 效 的 接 入 管理 、 资 产 管理 和 安全 管理 。 对 于 安全 性 要 求 较 高 的 网 络 ， 桌 
面 安 全 管理 机 制 应 符合 以 下 要 求 : 

。 桌面 系统 资源 管理 。 

。 终端 拓扑 管理 。 

。 终端 设备 安全 策略 与 接 入 管理 。 

。 设备 行为 与 策略 监控 。 

。 非法 外 联 监控 。 

8. 系统 备份 与 恢复 

系统 备份 与 恢复 应 符合 以 下 要 求 : 
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。 重要 的 系统 必须 实现 确定 的 恢复 功能 ， 能 够 在 出 现 故 障 时 恢复 到 故障 发 生前 的 系 


统 状态 。 
管理 控制 中 心 
级 系统 中 心 管理 控制 台 
企业 本 部 网 络 孙 病 毒 客户 端 
-级 系统 中 心 | -级 系统 中 心 | a -级 系统 中 心 | 
企业 分 支 网 络 企业 分 支 网 络 企业 分 支 网 络 


图 2-73 ”两 级 中 心 三 层 体系 示意 图 


。 定期 对 全 系统 的 完整 运行 现场 进行 备份 。 
。 对 部 分 类 型 的 服务 中 断 ， 在 无 人 工 干预 的 情况 下 能 使 计算 机 网 络 系统 恢复 到 安全 
状态 ， 对 其 他 的 服务 中 断 可 由 手动 恢复 实现 。 

9. 系统 监控 与 审计 

对 安全 性 要 求 较 高 的 网 络 应 制定 系统 监控 与 审计 方案 及 相应 的 监控 系统 ， 系 统 监控 
与 审计 应 符合 以 下 要 求 : 

。 对 审计 数据 进行 分 析 ， 包 括 分 类 、 排 序 和 趋势 分 析 等 。 

。 对 特定 异常 事件 进行 审计 分 析 ， 提 高 实时 报警 功能 。 

。 支持 集中 审计 和 事件 关联 分 析 。 

。 提供 自动 响应 机 制 ， 如 进行 实时 报警 ， 终 止 违例 进程 ， 取 消 异 常服 务 等 。 

10. 访问 控制 

访问 控制 应 符合 以 下 要 求 : 

。 应 启用 访问 控制 功能 ， 依 据 安 全 策略 控制 用 户 对 资源 的 访问 。 

。 应 根据 管理 用 户 的 角色 分 配 权限 ， 实 现 管理 用 户 的 权限 分 离 ， 仅 授予 管理 用 户 所 
需 的 最 小 权限 。 
应 实现 操作 系统 和 数据 库 系统 特权 用 户 的 权限 分 离 。 
应 严格 限制 默认 账户 的 访问 权限 ， 重 命名 系统 默认 账户 ， 修 改 这 些 账 户 的 默认 
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口令 。 
。 应 及 时 删除 多 余 的 、 过 期 的 账户 ， 避 免 共 享 账户 的 存在 。 
。 应 对 重要 信息 资源 设置 敏感 标记 。 
。 应 依据 安全 策略 严格 控制 用 户 对 有 敏感 标记 重要 信息 资源 的 操作 。 


2.5.9.4 ”应 用 安全 


1. 数据 库 安全 

1) 数据 库 访问 控制 

数据 库 访 问 控制 应 满足 以 下 要 求 : 

。 用 数据 库 目 录 表 、 存 取 控 制 表 、 能 力 表 等 确定 主体 对 客体 的 访问 权限 。 

。 应 允许 命名 用 户 以 用 户 和 /或 用 户 组 的 身份 规定 并 控制 对 客体 的 共享 , 并 阻止 非 授 

权 用 户 读 取信 息 。 

访问 控制 应 与 身份 认证 和 审计 相 结合 ， 通 过 确认 用 户 身 份 的 真实 性 和 记录 用 户 的 

各 种 成 功 的 或 不 成 功 的 访问 ， 使 用 户 对 自己 的 行为 承担 明确 的 责任 。 

应 限制 授权 传播 ， 要 求 对 不 可 传播 的 授权 进行 明确 定义 提供 支持 ， 由 系统 自动 检 

查 并 限制 这 些 授 权 的 传播 。 

。 数据 库 用 户 的 安全 属性 应 在 用 户 建立 注册 账号 后 由 系统 安全 员 进 行 标记 ， 而 客体 
的 安全 属性 则 以 默认 方式 生成 或 由 安全 员 通 过 操作 界面 进行 标记 。 

。 将 系统 的 常规 管理 、 与 安全 有 关 的 管理 以 及 审计 管理 ， 分 别 由 系统 管理 员 、 系 统 
安全 员 和 系统 审计 员 来 承担 ， 按 最 小 授权 原则 分 别 授予 他 们 各 自 为 完成 自己 所 承 
担任 务 所 需 的 最 小 权限 ， 并 在 三 者 之 间 形 成 相互 制约 的 关系 。 

。 数据 库 安 全 级 别 必 须 高 于 C2 安全 级 别 。 

。 必须 对 数据 库 进 行 备份 。 

2) 数据 库 中 的 身份 认证 

数据 库 中 的 身份 认证 访问 控制 应 满足 以 下 要 求 : 

。 进入 数据 库 系 统 的 用 户 ， 首 先 应 由 支持 数据 库 系 统 运行 的 操作 系统 进行 身份 
认证 。 

。 当 用 户 远 程 直接 登录 到 数据 库 管 理 系统 或 与 数据 库 服 务 器 进行 访问 连接 时 ， 应 进 
行 用 户 认 证 。 

。 本 地 登录 用 户 ， 可 以 选择 采用 该 用 户 在 操作 系统 中 的 标识 信息 ， 也 可 以 重新 进行 
用 户 标识 。 重 新 进行 用 户 标识 应 在 用 户 注 册 〈 建 立 账号 ) 时 进行 。 

。 数据 库 管理 系统 用 户 标识 一 般 使 用 用 户 名 和 用 户 标识 (UID)。 为 在 整个 数据 库 系 
统 范围 实现 用 户 的 唯一 性 ， 应 确保 数据 库 管理 系统 建立 的 用 户 在 系统 中 的 标识 
(SID) 与 在 各 数据 库 系统 中 的 标识 (用 户 名 或 别名 ，UID 等 ) 之 间 的 一 致 性 。 

。 分 布 式 数 据 库 系统 中 ,全 局 应 用 的 用 户 标识 信息 和 认证 信息 应 存放 在 全 局 数据 字 
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典 中 ， 由 全 局 数据 库 管 理 安全 机 制 完 成 全 局 用 户 的 身份 认证 。 局 部 应 用 的 用 户 标 
识 信息 和 认证 信息 应 存放 于 局 部 数据 字典 中 ， 由 局 部 数据 库 安全 机 制 完成 局 部 用 
户 的 身份 认证 。 

。 数据 库 用 户 的 标识 和 认证 信息 应 受到 操作 系统 和 数据 库 系 统 的 双重 保护 。 操 作 系 
统 应 确保 任何 用 户 不 能 通过 数据 库 以 外 的 使 用 方式 获取 和 破坏 数据 库 用 户 的 标 
识 和 认证 信息 。 

。 数据 库 系 统 应 保证 用 户 以 安全 的 方式 和 途径 使 用 数据 库 系统 的 标识 和 认证 信息 。 

。 数据 库 用 户 标识 信息 应 在 数据 库 系 统 的 整个 生命 期 有 效 ， 被 撤销 的 用 户 账号 的 
UID 不 得 再 次 使 用 。 

3) 数据 库 的 安全 审计 

数据 库 的 安全 审计 应 满足 以 下 要 求 : 

。 应 设计 数据 库 审计 功能 ， 并 应 与 用 户 标识 与 认证 、 自 主 访问 控制 、 标 记 与 强制 访 
问 控制 等 安全 功能 的 设计 紧密 结合 。 

。 对 与 标识 及 强制 访问 控制 等 安全 机 制 有 关 的 内 容 ， 如 安全 属性 的 操作 等 进行 
审计 。 

。 对 网 络 环境 下 运行 的 数据 库 管 理 系统 ， 应 建立 分 布 式 的 审计 系统 ， 并 由 审计 中 心 
进行 管理 和 控制 。 

4) 数据 库 的 容 灾 

数据 库 应 考虑 采用 定期 定时 备份 的 方式 进行 容 灾 防护 ， 备 份 的 方式 可 以 采用 如 下 

原则 : 

。 小 型 数据 库 可 以 采用 基于 磁带 、 磁 盘 文 件 的 数据 库 备 份 方式 。 

。 中 型 数据 库 可 以 采用 基于 SAN、NAS 技术 的 在 线 数据 库 备 份 方式 。 

。 大 型 数据 库 可 以 在 基于 SAN、NAS 技术 的 在 线 数据 备份 方式 之 外 ， 采 用 数据 库 
应 用 级 备份 。 

2. 邮件 服务 安全 

邮件 安全 系统 防止 邮件 病毒 、 邮 件 炸 弹 和 垃圾 邮件 进入 网 络 内 部 ， 邮 件 服务 的 安全 

应 达到 如 下 技术 要 求 : 

。 能 有 效 阻止 恶意 程序 和 病毒 通过 邮件 进入 网 络 。 

。 能 有 效 探测 和 记录 各 种 垃圾 邮件 并 过 滤 掉 垃圾 邮件 。 

。 能 有 效 阻止 恶意 程序 通过 邮件 进入 网 络 。 

。 邮件 安全 系统 应 具有 国家 相关 安全 部 门 的 证 书 ， 否 则 不 得 投入 使 用 。 

3. Web 服务 安全 

1) 网 页 防 算 改 

网 页 防 算 改 机制 防 止 非 授 权 人 员 随 意 算 改 Web 页 面 ， 对 网 页 进行 实时 监控 、 保 护 。 

网 页 防 算 改 机 制 应 满足 以 下 要 求 : 
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。 一 旦 发 生 非 法 网 页 修改 ， 系 统 应 立即 报警 并 进行 恢复 。 

。 能 够 以 多 种 形式 〈 如 电话 、 短 信 、 邮 件 、 铃 声 等 ) 进行 报警 。 

。 提供 加 密 功 能 ， 杜 绝 传输 过 程 中 的 信息 算 改 。 

2) Web 日 志 审计 

Web 日 志 审计 是 指 记录 和 收集 用 户 登录 、 浏 览 页 面 及 其 他 相关 操作 的 过 程 ， 它 可 以 
对 破坏 性 行为 提供 有 力 证 据 。Web 日 志 审 计 应 满足 以 下 要 求 : 

。 应 定期 进行 日 志 审 计 并 由 专人 负责 。 

。 确保 审计 数据 的 完整 性 和 可 读 性 。 

。 保存 对 Web 服务 器 的 审计 数据 和 分 析 结 果 ， 确 保 审 计数 据 的 可 用 性 。 

。 明确 审计 事件 的 处 理 流程 。 

3) Web 业务 隔离 

Web 业务 隔离 提供 面向 外 部 和 面向 内 部 的 服务 业务 的 独立 性 ， 防 止 出 现 问题 时 造成 
整体 服务 中 断 。 技 术 要 求 应 达到 在 面向 外 部 用 户 的 服务 和 面向 内 部 用 户 的 服务 需求 不 同 
时 ， 部 署 不 同 的 服务 器 并 进行 逻辑 隔离 ， 分 别 对 外 部 和 内 部 提供 服务 。 

4. 应 用 系统 的 安全 要 求 

1) 对 应 用 软件 的 基本 要 求 

。 应 用 软件 必须 是 正版 软件 。 

。 未 经 认证 的 环境 、 工 具 ， 必 须 提 交 源 设计 代码 ， 经 相关 专家 组 评价 审定 后 ， 经 现 
场 编译 后 ， 方 可 使 用 。 专 家 组 成 员 必须 是 中 国内 地 在 政府 机 构 、 研 究 机 构 、 企 事 
业 单位 、 大 学 等 工作 的 信息 安全 方面 的 专家 学 者 。 

新 开发 应 用 软件 运行 时 ， 必 须 保 留 人 工 工作 方式 至 少 半年 ， 经 认证 无 误 后 ， 方 可 

停止 人工 工作 ; 软件 版 本 升级 换代 ， 必 须 对 旧 系 统 的 数据 进行 必要 的 备份 ， 并 直 

接 导 入 新 系统 , 应 该 对 新 系统 进行 跟踪 至 少 3 个 月 。 必 要 时 , 新 软件 正式 运行 前 ， 

应 该 经 有 关 专 家 或 者 机 构 测试 ， 确 保 正 确 无 误 。 

应 提供 数据 有 效 性 检验 功能 ， 保 证 通过 人 机 接口 输入 或 通过 通信 接口 输入 的 数据 

格式 或 长 度 符合 系统 设 定 要 求 。 

应 提供 自动 保护 功能 ， 当 故障 发 生 时 自动 保护 当前 所 有 状态 ， 保 证 系统 能 够 进行 

恢复 。 

。 未 经 授权 ， 不 得 用 开发 、 管 理工 具 直接 远程 连接 到 实际 运行 的 网 络 设 备 、 操 作 系 
统 、 数 据 库 、 中 间 件 服务 器 等 ， 授 权 连 接 操 作 结 束 后 ， 必 须 尽 快 断 开 。 

2) 身份 识别 与 认证 

身份 识别 与 认证 应 满足 以 下 要 求 : 

。 应 用 系统 应 采用 基于 数字 证 书 的 用 户 身份 认证 。 

。 应 用 系统 登录 应 该 采用 用 户 身 份 、 口 令 验 证 ， 必 要 时 应 该 加 入 验证 码 ， 防 止 恶意 
软件 自动 登录 攻击 。 
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应 提供 强制 要 求 修 改口 令 的 功能 。 通 过 管理 端的 设置 ， 可 要 求 所 有 或 部 分 用 户 必 

须 定期 或 在 符合 特定 条 件 的 情况 下 修改 口令 。 

应 用 系统 应 具有 登录 失败 处 理 的 功能 ， 锁 定 登 录 失败 次 数 超过 一 定数 量 的 用 户 

账号 。 

应 用 系统 应 具有 超时 处 理 的 功能 ， 当 用 户 登 录 后 在 一 段 时 间 内 无 任何 动作 ， 应 用 

系统 应 锁定 界面 并 清除 用 户 状态 ， 用 户 必须 再 次 进行 身份 认证 才 可 恢复 。 

。 重要 的 应 用 系统 ， 应 该 采用 一 次 性 口令 密码 。 

。 不 允许 以 超级 用 户 的 方式 连接 数据 库 系统 、 中 间 件 服务 器 等 ， 不 允许 使 用 超级 用 
户 访问 操作 系统 、 网 络 设备 等 。 

3) 数据 的 机 密 性 和 完整 性 保护 

数据 的 机 密 性 和 完整 性 保护 应 满足 以 下 要 求 : 

。 应 用 系统 的 数据 传输 应 基于 数字 证 书 的 安全 认证 平台 , 通过 PKICA, 对 证 书 ( 密 

钥 ) 和 信任 关系 进行 管理 。 

在 应 用 软件 通信 过 程 中 ， 对 于 敏感 信息 例如 账号 、 密 码 、 证 件 号 码 等 字段 采用 事 

先 约定 加 密 算法 进行 加 密 。 

采用 事先 约定 的 非 对 称 加 密 算法 加 密 摘 要 ， 形 成 数字 签名 。 

在 应 用 系统 通信 时 ， 对 整个 应 用 报 文 或 会 话 过程 采 用 事先 约定 加 密 算法 进行 加 

密 。 对 称 加 密 算法 的 密 钥 通过 非 对称 加 密 后 进行 传输 。 

。 重要 业务 数据 在 传输 过 程 中 完整 性 受到 破坏 ， 并 在 检测 到 完整 性 错误 时 应 采取 必 
要 的 恢复 措施 。 

。 重要 业务 数据 在 存储 过 程 中 完整 性 受到 破坏 ， 并 在 检测 到 完整 性 错误 时 应 采取 必 
要 的 恢复 措施 。 

4) 应 用 安全 审计 

应 用 安全 审计 应 满足 以 下 要 求 : 

。 身份 认证 审核 。 

。 数据 、 文 件 的 删除 和 修改 等 行为 监控 。 

系统 管理 员 、 系 统 安 全 员 、 审 计 员 和 一 般 用 户 所 实施 的 操作 监控 。 

其 他 与 系统 安全 有 关 的 事件 或 专门 定义 的 可 审计 事件 。 

。 对 于 每 一 个 事件 ， 其 审计 记录 应 包括 事件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 、 事 件 
是 否 成 功 ， 及 其 他 与 审计 相关 的 信息 。 

。 日 志 信息 应 定期 转 存 或 备份 到 存储 设备 。 

。 可 对 审计 数据 进行 报表 分 析 功 能 ， 包 括 分 类 排序 、 筛 选 、 趋 势 分 析 。 

应 用 系统 可 基于 特定 异常 事件 进行 审计 分 析 。 

应 用 软件 应 支持 将 日 志 事 件 以 某 种 通用 格式 输出 ， 作 为 集中 审计 的 输入 。 
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5) 访问 控制 

访问 控制 应 满足 以 下 要 求 : 

。 应 提供 访问 控制 功能 ， 依 据 安全 策略 控制 用 户 对 文件 、 数 据 库 表 等 客体 的 访问 。 

。 访问 控制 的 覆盖 范围 应 包括 与 资源 访问 相关 的 主体 、 客 体 及 它们 之 间 的 操作 。 

。 应 由 授权 主体 配置 访问 控制 策略 ， 并 严格 限制 默认 账户 的 访问 权限 。 

。 应 授予 不 同 账户 为 完成 各 自 承 担任 务 所 需 的 最 小 权限 ， 并 在 它们 之 间 形 成 相互 制 
约 的 关系 。 

。 应 具有 对 重要 信息 资源 设置 敏感 标记 的 功能 。 

。 应 依据 安全 策略 严格 控制 用 户 对 有 敏感 标记 重要 信息 资源 的 操作 。 


2.5.9.5 ”数据 容 灾 与 恢复 


1. 总 体 要 求 

数据 容 灾 机 制 保证 企业 网 络 核心 业务 数据 在 灾难 发 生 后 的 及 时 恢复 ， 数 据 容 灾 机 制 
应 符合 以 下 总 体 要 求 : 

。 有 运行 维护 人 员 执 行 定期 的 数据 备份 任务 。 

。 有 专门 的 运 维 人 员 定 期 检查 数据 备份 情况 。 

。 应 制定 数据 恢复 预案 ， 并 由 相关 部 门 备案 。 

。 备份 的 数据 必须 有 效 且 能 进行 恢复 。 

1) 中 小 型 网 络 数据 容 灾 要 求 

中 小 型 网 络 数据 容 灾 在 满足 总 体 要 求 的 基础 上 应 做 到 : 

。 拥有 备用 基础 设施 ， 备 用 基础 设施 可 与 省 电子 政务 网 共享 。 

。 拥有 本 地 数据 备份 系统 。 

2) 大 型 网 络 数据 容 灾 要 求 

大 型 网 络 数据 容 灾 在 满足 总 体 要 求 的 基础 上 应 做 到 : 

。 应 建立 独立 的 备用 基础 设施 。 

。 应 建立 独立 的 数据 备份 系统 。 

。 应 建立 独立 的 备用 数据 处 理 系统 。 

。 应 建立 独立 的 备用 网 络 系统 。 

2. 容 灾 系 统 建设 

1) 建设 地 址 的 选择 

灾难 恢复 与 灾难 备份 中 心 的 建设 地 点 应 满足 以 下 要 求 

。 应 与 核心 网 络 中 心 距 离 大 于 10km。 

。 网 络 基础 设施 较 完 善 ， 能 提供 足够 带宽 的 广域网 络 线路 。 

。 应 能 够 提供 充足 的 双 回路 电力 保障 。 
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不 能 在 地 震 、 洪 涝 、 台 风 、 和 雷击 等 地 质 灾害 和 天 气 灾害 的 多 发 地 区 。 
不 能 在 重要 设施 密集 地 区 。 
不 能 在 交通 要 道 附近 。 
不 能 与 重要 建筑 和 标志 性 建设 相 临 。 

2) 基础 建设 的 要 求 

备用 基础 设施 包括 支持 灾难 备份 系统 运行 的 机 房 、 数 据 备份 中 心 的 存储 基础 设施 和 
备份 运行 系统 的 服务 器 等 。 建 设 要 求 如 下 : 

。 机 房 的 建设 应 符合 国标 。 

。 存储 基础 设施 应 建立 有 效 的 存储 系统 ， 以 保证 数据 的 安全 性 、 备 份 的 简单 性 和 易 

管理 性 。 

。 服务 器 应 根据 需要 ， 针 对 核心 网 络 中 的 主要 服务 ， 设 立 备 份 服务 器 。 

3) 网 络 线路 的 备份 

备用 网 络 系统 包含 备用 网 络 通信 设备 和 备用 数据 通信 线路 。 应 满足 以 下 要 求 : 

。 配备 与 核心 网 络 相同 等 级 的 通信 线路 和 网 络 设备 ， 包 括 通信 线路 、 路 由 器 、 交 换 

机 和 防火 墙 等 ， 使 最 终 用 户 可 通过 网 络 同时 接 入 主 、 备 中 心 。 

。 应 部 署 一 定 的 安全 系统 以 保证 容 灾 系统 的 安全 ， 包 括 入 侵 检 测 等 。 

4) 建设 方式 

数据 备份 系统 设施 的 建设 方式 可 采用 单位 自行 建设 、 运 行 ， 多 方 共 建 或 通过 互惠 协 
议 获取 ;租用 其 他 机 构 的 系统 ， 如 商业 化 灾难 备份 中 心 的 基础 设施 ， 事 先 与 厂商 签订 紧 
急 供 货 协议 。 

3. 数据 备份 与 恢复 

数据 备份 与 恢复 应 满足 以 下 要 求 : 

。 应 提供 本 地 数据 备份 与 恢复 功能 ， 完 全 数据 备份 应 每 天 一 次 。 

。 重要 数据 应 定期 从 运行 的 系统 中 备份 到 本 地 的 光盘 、 海 量 磁盘 、 磁 带 或 磁带 库 等 
介质 中 。 
应 制定 合理 的 备份 策略 。 包 括 介 质 的 分 类 、 标 记 、 查 找 方法 ; 介质 的 使 用 、 维 护 、 
保养 、 销 毁 ; 数据 备份 频率 、 保 存 时 间 等 。 
。 对 数据 备份 策略 的 实施 情况 定期 进行 检查 。 
。 采用 异地 备份 方式 ， 数 据 可 通过 网 络 系统 定时 自动 地 备份 到 异地 的 磁盘 阵列 。 
当 某 些 因素 引起 数据 不 完整 、 不 连续 、 不 可 靠 、 丧 失业 务 的 连续 性 或 者 数据 库 需 
要 重建 就 应 该 进行 业务 数据 的 恢复 。 
。 数据 恢复 时 ， 数 据 库 管 理 员 应 填写 数据 恢复 申请 表 ， 制 订 数 据 恢复 计划 报请 主管 
批准 。 而 后 按 恢复 计划 执行 恢复 操作 。 
业务 数据 恢复 前 的 检查 ， 即 严格 审查 数据 是 否 已 经 丧失 连续 生产 的 可 能 ; 严格 审 
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查 数据 库 是 否 需要 重建 ;严格 检查 备份 介质 、 备 份 数据 是 否 有 效 。 
。 对 数据 恢复 工具 进行 严格 控制 ， 尽 可 能 地 防止 误 操作 。 并 且 数 据 的 恢复 工具 应 有 
详细 的 操作 说 明 、 操 作 步 骤 以 及 注意 事项 说 明 。 


2.5.9.6 ”安全 运 维 服务 体系 


1. 信息 安全 风险 评估 工作 

1) 风险 评估 的 对 象 

安全 风险 评估 的 对 象 包括 以 下 内 容 : 
。 网 络 结构 。 

网 络 系统 及 设备 。 

应 用 系统 。 

管理 制度 。 

人 员 意 识 与 技能 。 

安全 产品 和 技术 应 用 状况 。 

。 安全 事件 处 理 能 力 。 

2) 评估 方法 

评估 方法 包括 以 下 内 容 : 

。 安全 管理 审计 。 

。 工具 扫描 。 

。 网 络 架 构 评 估 。 


应 用 系统 评估 。 
主机 设备 和 平台 安全 配置 检查 。 
渗透 测试 和 分 析 。 
3) 评估 要 求 
安全 风险 评估 服务 是 网 络 安全 服务 的 一 个 重要 环节 ， 每 年 应 进行 一 次 信息 安全 风险 
评估 。 为 避免 出 现 重大 的 安全 漏洞 和 隐患 ， 可 以 在 自行 评估 的 基础 上 ， 定 期 或 不 定期 地 
委托 具备 资格 的 信息 安全 风险 评测 机 构 进 行 评 估 。 
2. 应 急 服务 
1) 应 急 响 应 
应 急 响 应 应 达到 以 下 要 求 : 
。 设立 应 急 响 应 中 心 ， 合 理 安排 应 急 响应 人 员 。 
。 应 针对 各 种 可 能 情况 制定 合理 的 应 急 响 应 预案 。 
。 应 制订 详细 合理 的 应 急 响 应 计划 。 
应 急 预 案 的 执行 单位 可 由 网 络 管理 中 心 相关 部 门 执行 ， 也 可 委托 公司 、 大 学 或 研究 
机 构 完 成 。 受 委托 单位 应 是 具有 相关 安全 资质 的 中 资 机 构 。 
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2) 应 急 预 案 的 制定 

为 保证 在 发 生 各 种 信息 安全 事件 情况 下 ， 能 够 从 容 处 理 并 解决 安全 事件 ， 要 求 制定 
应 急 预 案 。 制 定 应 急 响应 预案 首先 应 建立 应 急 处 理工 作 小 组 ， 负 责 预案 的 落实 ， 并 且 保 
证 预案 的 传达 与 实施 ， 应 急 预 案 要 在 相关 部 门 或 上 级 部 门 进行 备案 。 预 案 的 制定 应 符合 
以 下 要 求 : 

。 应 急 预 案 应 根据 电子 政务 网 实际 情况 制定 ， 必 须 切 实 有 效 ， 可 操作 性 强 。 
应 急 预 案 的 制定 和 实施 中 明确 各 个 部 门 的 职责 ， 责 任 落 实 到 岗 、 到 人 。 
确定 应 急事 件 的 风险 优先 次 序 。 对 于 高 风险 的 应 急事 件 ， 优 先 制定 应 急 预 案 。 
全 面 分 析 系 统 运行 、 信 息 内 容 和 网 络 的 管理 与 控制 等 方面 的 安全 威胁 。 
完善 应 急 预案 所 需 的 备用 资源 ， 包 括 备 用 的 软件 、 设 备 以 及 人 员 。 
每 种 应 急事 件 建立 应 急 响应 流程 。 
当 不 能 判断 事件 发 生 原因 时 ， 一 定 要 保留 现场 ， 保 留 痕迹 ， 追 查 原因 。 
重大 事件 要 上 报 有 关 部 门 ， 直 至 追究 行政 或 刑事 责任 。 
对 预想 到 的 事件 要 事先 积极 采取 管理 和 技术 措施 ， 尽 早 解决 。 
应 急 预 案 应 经 常 进行 培训 和 演练 。 
3) 应 急 预 案 的 内 容 
应 急 预 案 的 内 容 应 包括 以 下 内 容 。 
标题 : 包括 应 急事 件 的 名 称 、 事 件 编号 以 及 事件 处 理 的 优先 等 级 。 
事件 描述 ， 包括 应 急事 件 发 生 的 背景 、 现 象 、 可 能 的 影响 以 及 影响 范围 。 
涉及 范围 : 包括 应 急 处 理工 作 组 人 员 与 部 门 职责 。 
处 理 概 述 : 包括 描述 事件 处 理 主要 环节 和 要 点 。 
处 理 流 程 : 包括 用 流程 图 简 述 处 理 过 程 。 
流程 说 明 : 包括 针对 流程 图 每 个 步 又， 详细 描述 涉及 的 具体 人 员 、 操 作对 象 〈 如 
设备 端口 号 、IP 地 址 、 主 机 名 、 文 件 名 、 备 份 介质 编号 与 存放 地 点 等 )、 操 作 命 
令 、 使 用 的 工具 等 。 
演练 计划 : 包括 预演 环境 的 建立 、 参 与 人 员 、 时 间 与 地 点 ， 对 上 述 处 理 流程 进行 
实际 操作 、 验 证 预案 的 合理 性 ， 增 强 事件 处 理 的 熟练 程度 与 可 靠 性 。 

。 参与 人 员 : 包括 编制 人 、 预 案 人 与 审批 人 ， 以 及 需要 抄 送 的 部 门 。 

4) 应 急 预案 的 流程 

安全 事件 应 急 处 理 的 标准 流程 如 图 2-74 所 示 。 

5) 应 急 响应 步 又 

应 急 响 应 步骤 是 安全 事件 或 事故 发 生 后 应 急 中 心 根 据 应 急 预 案 进行 更 具体 的 应 急 
响应 步骤 。 当 入 侵 或 破坏 发 生 时 ， 对 应 的 处 理 步骤 如 下 。 

(1) 保护 或 恢复 计算 机 、 网 络 服务 的 正常 工作 ， 进 行 应 急 准 备 。 

为 一 个 突 发 事件 的 处 理 取得 管理 方面 的 支持 。 
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@) 组 建 事件 处 理 队 伍 (1~10 人 ) 。 
@ 提供 易 实现 的 初步 报告 。 


紧急 响应 申请 


通报 各 单位 


图 2-74 应急 预案 的 标准 流程 


(2) 追查 入 侵 者 ， 识 别 事 件 〈 判 定安 全 事件 类 型 ) 。 

@ 初步 评估 ， 确 定 事件 来 源 。 

@ 保护 可 追查 的 线索 ， 立 即 在 磁带 上 或 其 他 不 联机 存储 设备 上 备份 日 志 数 据 。 
(3) 抑制 缩小 事件 的 影响 范围 。 

Q 确定 系统 继续 运行 的 风险 如 何 ， 决 定 是 否 关闭 系统 及 其 他 措施 。 
@ 根据 需求 制定 相应 的 应 急 措施 。 

(4) 解决 、 恢 复 以 及 跟踪 问题 。 

Q 事件 的 起 因 分 析 、 取 证 追查 。 

@ 漏洞 分 析 、 后 门 检查 。 

@ 提供 解决 方案 、 结 果 提 交 专 家 小 组 或 上 级 领导 审核 。 

(5) 后 续 工 作 。 

Q 检查 是 不 是 所 有 的 服务 都 已 经 恢复 。 

@ 攻击 者 所 利用 的 漏洞 是 否 已 经 解决 。 
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图 其 发 生 的 原因 是 否 已 经 处 理 。 

@ 保险 措施 、 法 律 声明 等 手续 是 否 已 经 归档 。 

@ 应 急 响 应 步 又 是 否 需要 修改 。 

@ 生成 紧急 响应 报告 。 

@ 拟定 一 份 事件 记录 和 跟踪 报告 。 

录入 专家 信息 知识 库 。 

3. 安全 监控 与 管理 服务 

1) 部 署 要 求 

安全 监控 与 管理 是 通过 统一 集中 的 安全 管理 机 制 来 总 体 配置 、 调 控 整 个 网 络 多 层 
面 、 分 布 式 的 安全 系统 ， 提 高 安全 预警 能 力 ， 加 强 安全 应 急事 件 的 处 理 能 力 。 应 符合 以 
下 要 求 。 

(1) 以 分 布 式 的 体系 架构 来 实现 监测 和 管理 功能 ， 在 省 电子 政务 网 核心 局 域 网 以 及 
市 州 政务 网 络 中 心 分 别 部 署 两 级 监控 管理 中 心 。 

(2) 每 一 级 设置 独立 的 数据 库 ， 下 级 网 管 能 够 主动 或 被 动 地 将 部 分 或 全 部 数据 上 传 
到 上 级 系统 。 

(3) 上 级 管理 节点 能 对 下 级 管理 节点 进行 配置 和 监测 数据 同步 ， 支 持 上 级 管理 节点 
对 下 级 管理 节点 的 远程 管理 。 

(4) 管理 功能 集成 于 一 个 管理 平台 ， 统 一 于 一 个 管理 图 形 界面 。 

(5) 可 监测 和 管理 网 络 、 应 用 系统 和 运行 环境 ， 形 成 一 套 统 一 的 网 络 与 应 用 系统 状 
态 管理 体系 。 

2) 监控 功能 要 求 

监控 功能 应 符合 以 下 要 求 。 

(1) 应 能 够 采集 网 络 设备 、 安 全 设备 、 服 务 器 和 应 用 系统 等 的 运行 状态 、 性 能 、 故 
障 和 事件 信息 。 

(2) 应 能 对 安全 事件 进行 过 滤 、 关 联 分 析 和 告警 。 

(3) 应 能 对 网 络 、 主 机 、 数 据 库 、 中 间 件 、 安 全 设备 和 应 用 系统 等 IT 资产 进行 集中 
统一 管理 。 

(4) 安全 事件 处 理 和 风险 分 析 功 能 。 

(5) 可 以 统计 分 析 所 有 事件 、 风 险 、 通 知 、 资 产 和 其 他 资源 ， 能 够 创建 报表 。 

3) 管理 功能 要 求 

管理 功能 应 符合 以 下 要 求 。 

(1) 运行 值班 管理 。 

(2) 事件 告警 处 理 。 

(3) 运行 维护 管理 。 

(4) 设备 辅助 信息 管理 。 

(5) 事件 统计 与 运行 考核 管理 。 
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(6) 告警 事件 处 理 知识 管理 。 

4) 规模 要 求 

大 型 网 络 需要 部 署 安全 监控 与 管理 平台 ， 中 型 网 络 的 核心 网 络 需要 部 署 安全 监控 与 
管理 平台 。 

4. 其 他 安全 服务 

(1) 定期 安全 巡 检 。 大 中 型 网 络 中 应 每 月 进行 一 次 巡 检 ， 虽 在 发 现 系统 运行 过 程 中 
是 否 有 新 的 风险 出 现 ， 确 定 修补 的 方案 ， 并 对 系统 进行 加 固 。 

(2) 安全 加 固 服务 。 应 当 对 网 络 平台 中 的 重要 应 用 服务 器 定期 进行 安全 加 固 服务 。 
加 固 之 前 需要 进行 安全 评估 ， 并 针对 安全 评估 后 的 结果 修补 系统 的 漏洞 ， 加 强 系统 的 安 
全 配置 ， 进 行 全 面 系统 的 加 固 工作 。 大 中 型 网 络 宜 每 季度 进行 一 次 ， 而 小 型 网 络 每 半年 
进行 一 次 。 

(3) 安全 信息 通告 服务 。 网 络 平台 ， 尤 其 是 大 型 网 络 平台 ， 应 进行 定期 的 安全 信息 
通告 服务 。 安 全 信息 中 应 包括 最 新 的 安全 公告 、 病 毒 信息 和 漏洞 信息 等 内 容 。 安 全 通告 
服务 以 邮件 、 电 话 和 走访 等 方式 ， 将 安全 技术 和 安全 信息 及 时 传递 给 客户 。 

(4) 安全 培训 。 建 立信 息 安 全 保障 体系 还 要 注重 信息 安全 人 才 的 教育 与 培养 。 信 息 
安全 的 保障 是 靠 人 、 技 术 和 管理 共同 来 实现 的 ， 人 员 的 安全 意识 和 安全 技术 水 平 将 直接 
影响 到 整个 信息 安全 系统 的 有 效 利用 。 


2.5.9.7 ”安全 管理 体系 


1. 安全 管理 体系 框架 
常见 的 安全 管理 体系 框架 如 图 2-75 所 示 。 


安全 管理 体系 | 


人 安 恋 安 

条 仿 多 全 赛 全 
组 安 汉 管 A 系 
组 全 术 理 理 统 
从 支 加 与 所 
构 理 竺 制 控 管 
制 理 


沽 


图 2-75 常见 的 安全 管理 体系 框架 


2. 建立 安全 组 织 机 构 
网 络 平台 应 建立 信息 安全 领导 小 组 ， 该 小 组 是 信息 安全 的 最 高 决策 机 构 。 信 息 安 全 
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领导 小 组 内 应 明确 指定 专人 负责 信息 安全 工作 、 应 急 处 理工 作 和 安全 保卫 工作 。 

信息 安全 管理 机 构 是 负责 信息 安全 的 职能 部 门 。 

3. 人 员 安 全 管理 

1) 信息 安全 人 员 的 基本 要 求 

(1) 信息 安全 管理 人 员 《〈 以 下 称 信息 安全 人 员 ) 应 当政 治 过 硬 、 业 务 素质 高 、 遵 纪 
守法 、 恪 尽职 守 。 

(2) 信息 安全 管理 机 构 人 员 应 具有 相关 专业 技术 背景 、 工 作 经 历 和 一 定 的 信息 安全 
资质 等 。 

(3) 违反 国家 法 律 、 法 规 和 行业 规章 受到 处 罚 的 人 员 , 不 得 从 事 信息 安全 管理 工作 。 

2) 信息 安全 人 员 的 管理 要 求 

(1) 应 配备 适当 数量 的 信息 安全 人 员 。 

(2) 应 建立 相关 信息 安全 人 员 管 理 制 度 ， 并 负责 对 信息 安全 人 员 的 管理 。 

(3) 信息 安全 人 员 应 相对 固定 ， 以 保持 工作 的 延续 性 。 

3) 信息 安全 人 员 的 职责 范围 

负责 信息 安全 管理 的 日 常 工作 。 

(1) 开展 信息 安全 检查 工作 ， 对 要 害 岗位 人 员 安 全 工作 进行 指导 。 

(2) 开展 信息 安全 知识 的 培训 和 宣传 工作 。 

(3) 监控 信息 安全 总 体 状况 ， 提 出 安全 分 析 报 告 。 

(4) 了 解 行业 动态 ， 为 改进 和 完善 信息 安全 管理 工作 ， 提 供 安 全 防范 建议 。 

(5) 及 时 向 信息 安全 工作 领导 小 组 和 有 关 部 门 、 单 位 报告 信息 安全 事件 。 

4) 第 三 方 人 员 管理 

第 三 方 人 员 包括 软件 开发 商 、 硬 件 供应 商 、 系 统 集成 商 、 设 备 维护 商 、 服 务 提 供 商 
和 临时 工 。 对 第 三 方 人 员 的 访问 应 进行 监控 和 审计 ， 对 第 三 方 人 员 的 权限 应 该 严格 控制 
和 检查 ， 对 第 三 方 人 员 的 依赖 程度 应 该 能 够 控制 并 有 补救 措施 。 通 常 应 做 到 如 下 几 点 。 

(1) 信息 系统 应 对 第 三 方 人 员 的 物理 访问 和 逻辑 访问 实施 访问 控制 ， 根 据 其 在 系统 
中 完成 工作 的 时 间 、 人 性 质 、 范 围 和 内 容 等 方面 的 需要 给 予 最低 授 权 。 

(2) 第 三 方 人 员 的 现场 工作 或 远程 维护 工作 内 容 应 在 合同 中 明确 规定 ， 如 工作 涉及 
敏感 信息 内 容 ， 应 要 求 其 签署 保密 协议 。 

(3) 一 般 情况 下 ， 第 三 方 人 员 的 现场 工作 ， 如 数据 库 、 系 统 、 因 特 网 扫描 ; 入 侵 检 
测 ， 白 客 渗透 以 及 其 他 软件 的 安装 等 不 许 接 入 自 带 的 设备 。 

(4) 第 三 方 人 员 的 现场 工作 应 在 有 关 人 员 的 陪同 和 监督 下 完成 。 第 三 方 人 员 自 带 设 
备 与 生产 系统 的 接 入 应 得 到 特别 授权 ， 其 操作 应 受到 审计 。 

(5) 第 三 方 人 员工 作 结束 后 ， 应 及 时 清除 有 关 账 户 、 过 程 记录 等 信息 。 

4. 外 部 技术 支持 

外 部 技术 支持 包括 聘请 外 部 信息 安全 顾问 ， 委 托 具 备 资质 的 单位 负责 安全 管理 等 。 
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外 部 信息 安全 顾问 的 职责 如 下 。 

(1) 对 信息 安全 管理 小 组 在 安全 策略 制定 方面 提供 帮助 。 

(2) 帮助 对 安全 系统 项 目 建设 、 日 常安 全 管理 和 控制 、 应 用 系统 的 安全 管理 和 维护 
工作 提供 技术 建议 。 

(3) 对 安全 事故 的 处 理 决 策 提供 建议 。 

S. 安全 管理 规章 制度 

设计 人 员 在 针对 网 络 制定 规章 制度 时 ， 可 参照 下 述 的 几 个 方面 ， 根 据 当 地 实际 情况 
制定 具体 的 安全 管理 规章 制度 。 

1) 资产 安全 管理 

(1) 应 有 “信息 资产 的 分 类 和 标识 管理 办 法 ”， 主 要 内 容 包括 信息 资产 分 类 的 定义 ， 
信息 资产 访问 控制 权限 ， 信 息 资 产 的 数据 保护 ， 信 息 资 产 的 管理 和 使 用 等 。 还 应 说 明 信 
息 所 属 信息 资产 分 类 ， 以 及 本 系统 信息 资产 的 存放 形式 等 。 

(2) 应 有 “ 软 硬 件 设备 管理 制度 ”， 主 要 内 容 包括 设备 购置 、 设 备 管理 、 设 备 应 用 、 
设备 维护 和 维修 及 设备 报废 等 。 

2) 运行 维护 管理 

(1) 应 有 “机 房 安全 管理 制度 ”， 主 要 内 容 应 包括 机 房 安全 管理 、 机 房 卫 生 管理 、 
机 房 设 备 管理 和 介质 安全 管理 等 。 

(2) 应 有 “ 防 病毒 管理 制度 ”， 主 要 内 容 应 包括 病毒 定义 、 组 织 领导 和 机 构 人 员 、 
防 病毒 管理 员工 作 要 求 、 防 病毒 管理 员工 作 程序 及 一 般 用 户 的 防 病毒 要 求 等 。 

(3) 应 有 “网 络 及 系统 运行 安全 管理 制度 ”， 主 要 内 容 应 包括 网 管 人 员 职 责 、 网 络 
运行 管理 和 网 络 设备 管理 等 。 还 应 建立 网 络 访问 控制 授权 审批 表 、 网 络 运行 维护 和 应 急 
处 理 记录 等 。 

6. 变更 管理 和 控制 

变更 管理 和 控制 应 符合 以 下 要 求 。 

(1) 目标 是 确保 变更 实施 过 程 受到 控制 ， 对 各 项 变化 内 容 进行 记录 ， 保 证 变更 对 业 
务 的 影响 最 小 。 

(2) 变更 内 容 审核 和 审批 : 对 变更 目的 、 内 容 、 影 响 、 时 间 和 地 点 以 及 人 员 权限 进 
行 审核 ， 以 确保 变更 合理 、 科 学 地 实施 。 按照 机 构建 立 的 审批 流程 对 变更 方案 进行 审批 。 

(3) 建立 变更 过 程 日 志 : 按照 批准 的 变更 方案 实施 变更 ， 对 变更 过 程 各 类 系统 状态 、 
各 种 操作 活动 等 建立 操作 记录 或 日 志 。 

(4) 形成 变更 结果 报告 :收集 变更 过 程 的 各 类 相关 文档 ， 整 理 、 分 析 和 总 结 各 类 数 
据 ， 形 成 变更 结果 报告 并 归档 保存 。 

7. 安全 系统 建设 管理 

1) 安全 方案 设计 

安全 方案 设计 应 包括 以 下 内 容 。 
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(1) 应 根据 系统 的 安全 保护 等 级 选择 基本 安全 措施 ， 并 依据 风险 分 析 的 结果 补充 和 
调整 安全 措施 。 

(2) 应 指定 和 授权 专门 的 部 门 对 信息 系统 的 安全 建设 进行 总 体 规划 ， 制 订 近 期 和 远 
期 的 安全 建设 工作 计划 。 

(3) 应 根据 信息 系统 的 等 级 划分 情况 ， 统 一 考虑 安全 保障 体系 的 总 体 安全 策略 、 安 
全 技术 框架 、 安 全 管理 策略 、 总 体 建设 规划 和 详细 设计 方案 ， 并 形成 配套 文件 。 

(4) 应 组 织 相关 部 门 和 有 关 安 全 技术 专家 对 总 体 安 全 策略 、 安 全 技术 框架 、 安 全 管 
理 策 略 、 总 体 建设 规划 和 详细 设计 方案 等 相关 配套 文件 的 合理 性 和 正确 性 进行 论证 和 审 
定 ， 并 且 经 过 批准 后 才能 正式 实施 。 

(5) 应 根据 等 级 测评 、 安 全 评估 的 结果 定期 调整 和 修订 总 体 安全 策略 、 安 全 技术 框 
架 、 安 全 管理 策略 、 总 体 建 设 规划 和 详细 设计 方案 等 相关 配套 文件 。 

2) 安全 产品 采购 和 使 用 

安全 产品 采购 和 使 用 应 符合 以 下 要 求 。 

(1) 应 确保 安全 产品 采购 和 使 用 符合 国家 的 有 关 规 定 。 

(2) 应 确保 密码 产品 采购 和 使 用 符合 国家 密码 主管 部 门 的 要 求 。 

(3) 每 一 个 网 络 平台 ， 其 同一 类 别 的 安全 产品 原则 上 应 采用 同一 品牌 的 产品 。 

3) 安全 服务 商 选择 

安全 服务 商 选择 应 符合 以 下 要 求 。 

(1) 应 确保 安全 服务 商 的 选择 符合 国家 的 有 关 规 定 。 

(2) 安全 服务 商 应 具备 国家 相关 部 门 颁发 的 安全 服务 资质 证 书 。 

(3) 应 与 选 定 的 安全 服务 商 签订 与 安全 相关 的 协议 ， 明 确 约定 相关 责任 。 

(4) 应 与 选 定 的 安全 服务 商 签订 与 安全 相关 的 保密 协议 ， 明 确保 密 义 务 。 


2.5.10 ”编写 逻辑 设计 文档 


逻辑 设计 文档 是 所 有 网 络 设 计 文档 中 技术 要 求 最 详细 的 文档 之 一 ， 该 文档 是 需求 、 
通信 分 析 到 实际 的 物理 网 络 建设 方案 的 一 个 过 渡 阶 段 文 档 ， 但 也 是 指导 实际 网 络 建设 的 
一 个 关键 性 文档 。 在 该 文档 中 ， 网 络 设计 者 针对 通信 规范 说 明 书 中 所 列 出 的 设计 目标 ， 
明确 描述 网 络 设计 的 特点 ， 所 制定 的 每 项 决策 都 必须 有 通信 规范 说 明 书 、 需 求 说 明 书 、 
产品 说 明 书 以 及 其 他 事实 作为 凭证 。 

编写 逻辑 设计 文档 必须 使 用 非 技 术 性 描述 的 语言 ， 并 与 客户 就 业务 需求 详细 讨论 网 
络 设计 方案 ， 从 而 设计 出 符合 用 户 需要 的 网 络 方案 。 

在 正式 编写 逻辑 网 络 设计 文档 之 前 ， 需 要 进行 数据 准备 。 例 如 ， 需 求 说 明 书 、 通 信 
规范 说 明 书 、 设 备 说 明 书 、 设 备 手册 、 设 备 售 价 、 网 络 标准 以 及 其 他 设计 者 在 选择 网 络 
技术 时 所 用 到 的 信息 等 ， 这 些 可 能 都 是 逻辑 设计 阶段 需要 的 原始 数据 。 虽 然 逻 辑 设 计 文 
档 只 包含 其 中 的 一 小 部 分 数据 ， 但 是 与 所 有 的 原始 数据 一 样 ， 应 当 对 这 些 数据 进行 有 条 
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理 的 整理 ， 以 便 以 后 查阅 。 
逻辑 设计 文档 对 网 络 设计 的 特点 及 配置 情况 进行 了 描述 ， 它 由 下 列 主要 元 素 组 成 。 
(1) 主管 人 员 评 价 。 
(2) 逻辑 网 络 设 计 讨 论 。 
(3) 新 的 逻辑 设计 图 表 。 
(4) 总 成 本 估 测 。 
(5) 审批 部 分 。 
(6) 修改 逻辑 网 络 设计 方案 。 


2.5.10.1 主管 人 员 评 价 


主管 人 员 需 要 对 项 目 进行 概述 ， 其 内 容 如 下 。 

(1) 简短 描述 项 目 。 

(2) 列 出 项 目 设计 过 程 各 阶段 的 清单 。 

(3) 项 目 各 个 阶段 目前 的 状态 ， 包 括 已 完成 的 阶段 和 正在 进行 的 阶段 。 

除了 上 述 这 些 要 点 外 ， 还 应 回顾 一 下 双方 已 经 达成 共识 的 需求 分 析 说 明 书 和 通信 规 
范 说 明 书 。 


2.5.10.2 ”逻辑 网 络 设 计 讨 论 


当 网 络 设 计 者 讨论 逻辑 设计 时 ， 应 当 将 重点 放 在 要 解决 的 问题 上 ， 而 不 是 解决 问题 
所 用 的 工具 上 。 因 此 ， 罗 辑 设计 文档 应 着 眼 于 通信 规范 中 的 设计 目标 ， 并 给 出 每 个 目标 
实现 的 技术 方案 。 

设计 目标 讨论 的 内 容 包 括 以 下 方面 。 

(1) 具体 设计 目标 。 描 述 设计 目标 实现 的 关键 数据 。 

(2) 提出 解决 方案 。 为 了 排除 故障 或 满足 商业 需求 ,详细 阐述 设计 目标 的 实现 方案 。 
解决 方案 中 要 说 明 是 否 需要 使 用 现 有 设备 、 购 置 新 设备 或 者 两 者 都 需 用 。 

(3) 成 本 估 测 。 虽 然 在 物理 设计 尚未 完成 之 前 ， 不 可 能 做 出 精确 的 成 本 估 测 ， 但 是 
也 要 尽 可 能 地 对 每 种 方法 的 技术 成 本 做 出 估 测 ， 以 确定 设计 方案 是 否 超出 了 预算 。 


2.5.10.3 ”新 的 逻辑 设计 图 表 


正如 用 通信 规范 说 明 书 了 解 当前 网 络 状况 一 样 ， 罗 辑 网 络 设 计 必须 能 清晰 地 表明 新 
网 络 的 特点 及 所 需要 的 配置 情况 ， 包 括 新 设备 、 链 路 或 实施 安全 级 别 等 ， 图 表 应 当 清 晰 
表示 出 新 网 络 和 现 有 网 络 的 区 别 。 


2.5.10.4 总 成 本 估 测 
要 想得到 新 技术 总 的 成 本 估价 ， 可 以 将 各 个 独立 方案 的 成 本 组 合 在 一 起 。 注 意 ， 要 
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考虑 一 次 性 成 本 和 需要 重复 支出 的 成 本 。 此 外 ， 还 要 考虑 包含 新 的 培训 成 本 、 咨 询 服务 
费用 以 及 雇用 新 员工 等 在 内 的 成 本 。 

如 果 提 出 的 方案 成 本 估算 已 经 超出 了 预算 ， 那 么 要 把 方案 在 商业 上 的 优点 列 出 来 ， 
然后 提出 一 个 满足 预算 的 蔡 代 方案 。 

如 果 方 案 成 本 估算 在 预算 的 范围 内 ， 就 不 用 缩减 预算 了 ， 但 要 提醒 管理 者 安装 成 本 
还 是 必须 要 考虑 到 最 后 的 预算 之 中 。 


2.5.10.5 ”审批 部 分 


在 方案 物理 设计 阶段 开始 前 ， 逻 辑 设计 方案 必须 经 过 高 层 人 员 审 批 。 罗 辑 设计 方案 
通过 批准 ， 管 理 层 同 意 接受 提出 的 功能 性 解决 方案 ， 同 时 获得 相应 的 实现 技术 。 

最 后 ， 为 使 文档 生效 ， 需 要 各 个 管理 者 在 逻辑 设计 文档 说 明 书 上 签名 ， 网 络 设计 组 
代表 也 要 签名 。 


2.5.10.6 ”修改 逻辑 网 络 设计 方案 


对 于 每 次 的 修改 ， 需 要 保存 好 修改 的 备份 、 后 继 版 本 号 ， 包 括 在 文档 开始 前 概述 中 
的 版 本 及 修改 的 注释 等 信息 。 


2.6 物理 网 络 设计 


物理 网 络 设计 是 网 络 设计 过 程 中 ， 紧 随 逻 辑 网 络 设计 的 一 个 重要 设计 部 分 ， 通 过 对 
逻辑 网 络 设计 的 物理 化 ， 提 供 了 网 络 实施 所 必需 的 信息 。 物 理 网 络 设 计 的 输入 是 需求 说 
明 书 、 通 信和 规范 说 明 书 和 风 辑 网 络 设计 说 明 书 。 

物理 网 络 设计 的 任务 是 为 所 设计 的 逻辑 网 络 设计 特定 的 物理 环境 平台 ， 主 要 包括 结 
构 化 布线 系统 设计 、 机 房 环境 设计 、 设 备 选 型 和 网 络 实施 ， 这 些 内 容 要 有 相应 的 物理 设 
计 文 档 。 由 于 逻辑 网 络 设计 是 物理 网 络 设计 的 基础 ， 因 此 逻辑 网 络 设计 的 商业 目标 、 技 
术 需 求 和 网 络 通信 特征 等 因素 都 会 影响 物理 网 络 设计 。 


2.6.1 结构 化 布线 设计 


2.6.1.1 基本 概念 


结构 化 布线 系统 是 一 个 能 够 支持 任何 用 户 选择 的 话音 、 数 据 、 图 形 图 像 应 用 的 电信 
布线 系统 。 系 统 应 能 支持 话音 、 图 形 、 图 像 、 数 据 多 媒体 、 安 全 监控 和 传 感 等 各 种 信息 
的 传输 ， 支 持 UTP、 光 纤 、STP 和 同 轴 电 缆 等 各 种 传输 载体 ， 支 持 多 用 户 多 类 型 产品 的 
应 用 ， 支 持 高 速 网 络 的 应 用 。 

结构 化 布线 系统 具有 以 下 特点 。 
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(1) 实用 性 。 支 持 多 种 数据 通信 、 多 媒体 技术 及 信息 管理 系统 等 ， 适 应 现代 和 未 来 
技术 的 发 展 。 

(2) 灵活 性 。 任 意 信 息 点 能 够 连接 不 同类 型 的 设备 ， 如 计算 机 、 打 印 机 、 终 端 和 服 
务 器 等 。 

(3) 开放 性 。 能 够 支持 任何 厂家 的 任意 网 络 产品 ， 支 持 任意 网 络 结构 ， 如 总 线 型 、 
星 型 和 环 型 等 。 

(4) 模块 化 。 所 有 的 接 插 件 都 是 积木 式 的 标准 件 ， 方 便 使 用 、 管 理 和 扩充 。 

(5) 扩展 性 。 实 施 后 的 结构 化 布线 系统 是 可 扩充 的 ， 以 便 将 来 有 更 大 需求 时 ， 很 容 
易 将 设备 安装 接 入 。 

(6) 经 济 性 。 一 次 性 投资 ， 长 期 受益 ， 维 护 费 用 低 ， 使 整体 投资 达到 最 少 。 
2.6.1.2 ”系统 构成 


结构 化 布线 系统 分 为 6 个 子 系统 : 工作 区 子 系统 、 水 平 布 线 子 系统 、 干 线 子 系统 、 
设备 间 子 系统 、 管 理子 系统 和 建筑 群 子 系统 ， 如 图 2-76 所 示 。 


建筑 群 系统 


| 


图 2-76 结构 化 布线 系统 示意 图 


1. 工作 区 子 系统 
工作 区 子 系统 由 终端 设备 连接 到 信息 插座 的 连 线 (或 软 线 ) 组 成 ， 包 括 装配 软 线 、 
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适配器 和 连接 所 需 的 扩展 软 线 ， 并 在 终端 设备 和 了 IO 之 间 搭 桥 ， 如 图 2-77 所 示 。 

2. 水 平 布线 子 系统 

水 平 布线 子 系统 的 作用 是 将 干线 子 系统 线路 延伸 到 用 户 工作 区 。 水 平 布线 子 系统 与 
干线 子 系统 的 区 别 是 : 水 平 布线 子 系统 处 于 同一 楼 层 ， 并 端 接 在 信息 插座 或 区 域 布线 的 
中 转 点 上 ; 水 平 布线 子 系 统一 端 端 接 于 信息 插座 上 ， 另 一 端 端 接 在 干线 接线 间或 设备 机 
房 的 管理 配 线 架 上 ， 如 图 2-78 所 示 。 


工作 区 子 系统 


水 平 布线 了 系统 
-一色 
扣 


工作 区 子 系统 
图 2-77 工作 区 子 系统 图 2-78 水平 布线 子 系统 


3. 管理 子 系统 

管理 子 系统 由 交 连 、 互 连 配 线 架 和 信息 插座 式 配 线 架 以 及 相关 跳 线 组 成 。 管 理 点 为 
连接 其 他 子 系统 提供 连接 手段 ， 交 连 和 互 连 允 许 将 通信 线路 定位 或 重新 定位 到 建筑 物 的 
不 同 部 分 ， 以 便 能 更 容易 地 管理 通信 线路 。 

通过 卡 接 或 插 接 式 跳 线 ， 交 叉 连接 允许 将 端 接 在 配 线 架 一 端的 通信 线路 与 端 接 于 另 
一 端 配 线 架 上 的 线路 相连 。 插 入 线 为 重新 安排 线路 提供 一 种 简易 的 方法 ， 而 且 不 需要 安 
装 跨 接线 时 使 用 的 专用 工具 ， 如 图 2-79 所 示 。 

4. 干线 子 系统 

干线 子 系统 是 建筑 物 内 网 络 系统 的 中 枢 ， 实 现 各 楼 层 的 水 平子 系统 之 间 的 互联 。 干 
线 子 系统 提供 建筑 物 的 干线 ( 馈 电线 ) 电缆 的 路 由 , 通常 由 垂直 大 对 数 铜 缆 或 光缆 组 成 ， 
一 端 端 接 于 设备 机 房 的 主 配 线 架 上 ， 另 一 端 通常 端 接 在 楼 层 接线 间 的 各 个 管理 分 配 线 架 
上 ， 如 图 2-80 所 示 。 


简直 干线 子 系统 


管理 子 系统 


电 


管理 子 系统 
图 2-79 管理 子 系统 图 2-80 干线 子 系统 
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5. 设备 间 子 系统 

设备 间 子 系统 由 设备 中 的 跳 线 电缆 、 适 配器 组 成 ， 实 现 中 央 主 配 线 架 与 各 种 不 同 设 
备 的 互 连 ， 如 PBX、 网 络 设备 和 监控 设备 等 与 主 配 线 架 之 间 的 连接 。 通 常设 备 间 子 系统 
设计 与 网 络 具 体 应 用 有 关 ， 相 对 独立 于 通用 的 结构 布线 系统 ， 如 图 2-81 所 示 。 

6. 建筑 群 子 系统 

建筑 群 子 系统 将 一 个 建筑 物 中 的 电缆 延伸 到 建筑 群 的 另外 一 些 建筑 物 中 的 通信 设 
备 和 装置 上 。 该 子 系统 是 整个 布线 系统 中 的 一 部 分 ， 并 支持 提供 楼 群 之 间 通 信 设 施 所 需 
的 硬件 ， 其 中 有 导线 电缆 、 光 缆 和 防止 电缆 的 浪 涌 电 压 进 入 建筑 物 的 电气 保护 设备 ， 如 
图 2-82 所 示 。 


设备 间 子 系统 建筑 群 子 系统 


设备 间 子 系统 建筑 群 子 系统 
图 2-81 设备 间 子 系统 2-82 ”建筑 群 子 系统 
2.6.1.3 ”设计 要 点 


1. 工作 区 子 系统 设计 要 点 

工作 区 子 系统 的 布线 通常 是 非 永久 性 的 ， 但 在 设计 阶段 可 根据 用 户 的 需要 增加 或 改 
变 ， 既 便于 连接 也 易于 管理 。 工 作 区 子 系统 中 的 信息 插座 类 型 选择 应 根据 网 络 系统 的 规 
模 和 终端 设备 的 种 类 、 数 量 而 定 。 

工作 区 子 系统 中 的 布线 、 信 息 插 座 通常 安装 在 工作 间 四 周 的 墙壁 下 方 ， 也 有 的 安装 
在 用 户 的 办 公 桌 上 ， 而 无 论 安装 在 何 处 ， 应 以 方便 、 安 全 、 不 易 损坏 为 目标 。 

工作 区 子 系统 的 布线 ， 实 质 上 相当 于 通信 线路 的 布线 ， 终 端 包 括 计 算 机 、 电 话机 、 
传真 机 和 有 线 电 视 机 等 设备 ， 应 使 这 些 终 端 设备 与 信息 插座 〈 通 信 引 出 端 ) 相连 。 

2. 水 平 布 线 设计 要 点 

在 进行 水 平 布 线 时 ， 传 输 媒体 中 间 不 宜 有 转折 点 ， 两 端 应 直接 从 配 线 架 连接 到 工作 
区 插座 。 水 平 布线 的 布线 通道 有 两 种 : 一 种 是 暗 管 预 埋 、 墙 面 引线 方式 ， 另 一 种 是 地 下 
管 槽 、 地 面 引 线 方式 。 前 者 适用 于 多 数 建筑 系统 ， 一 旦 铺设 完成 ， 不 易 更 改 和 维护 ;后 
者 适合 于 少 墙 、 多 柱 的 环境 ， 更 改 和 维护 方便 。 
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3. 管理 子 系统 设计 要 点 

对 于 楼 层 较 少 的 楼 栋 来 说 ， 管 理子 系统 可 以 不 采用 配 线 间 的 方式 ， 而 是 采用 悬挂 式 
配 线 柜 。 

对 于 大 多 数 楼 栋 来 说 ， 每 一 楼 层 至 少 有 一 个 配 线 间 ， 用 于 放置 交换 机 、 集 线 器 和 配 
线 架 等 交叉 连接 设备 。 配 线 架 等 交叉 设备 通过 水 平 布 线 子 系统 连接 至 各 工作 区 的 信息 插 
座 。 集 线 器 或 交换 机 与 交叉 设备 之 间 通 过 短线 绕 互 连 ， 这 些 短线 被 称 为 跳 线 。 通 过 跳 线 
的 调整 ， 可 以 方便 地 形成 工作 区 的 信息 插座 和 交换 机 端口 的 连接 切换 。 

同时 , 干线 子 系统 将 根据 其 分 布 式 结构 独立 地 连接 到 每 一 个 配 线 间 , 大 多 数 情况 下 ， 
管理 子 系统 的 配 线 间 至 少 拥有 一 条 以 上 的 主干 线 缆 。 

4. 干线 子 系统 设计 要 点 

干线 子 系统 在 设计 时 ， 对 于 旧式 建筑 ， 主 要 采用 楼 层 牵引 管 等 方式 铺设 ， 对 于 新 式 
建筑 物 ， 主 要 利用 建筑 物 的 线 井 进行 铺设 。 

S. 设备 间 子 系统 设计 要 点 

设备 间 子 系统 是 一 幢 建 筑 物 中 集中 存放 的 各 种 设备 , 如 主机 、 电 话 专用 程控 交换 机 、 
调制 解 调 器 的 安放 柜 、 网 络 服务 器 和 局 域 网 络 集线器 等 。 就 结构 化 局 域 网 而 言 ， 这 种 设 
备 间 应 包括 一 个 主要 的 交叉 连接 器 。 

在 选择 设备 间 位 置 时 ， 既 要 考虑 到 连接 方便 的 要 求 ， 也 要 兼顾 对 电磁 干扰 的 要 求 。 
考虑 到 结构 化 布线 的 投资 、 施 工 安装 与 维护 等 ， 设 备 室 通 常 选择 在 一 幢 建 筑 物 的 中 部 楼 
层 。 设 备 室 的 供电 要 求 也 格外 严格 ， 通 常 要 配备 不 间断 电源 ， 还 要 有 备份 电源 。 

6.， 建筑 群 子 系统 设计 要 点 

建筑 群 子 系统 主要 由 连接 楼 栋 的 线 缆 构成 ， 在 设计 时 ， 应 尽量 使 用 地 下 管道 铺设 方 
式 ， 管 道内 铺设 的 铜 缆 或 光缆 应 遵循 电话 管道 和 入 孔 的 各 项 设计 规定 。 此 外 ， 安 装 时 至 
少 应 预 留 1~2 个 备用 管 孔 ， 以 供 扩充 之 用 。 

建筑 群 子 系统 采用 直 埋 沟 内 铺设 时 ， 如 果 在 同一 个 沟 内 埋 入 了 其 他 的 图 像 、 监 控 电 
缆 ， 应 设立 明显 的 共用 标志 。 


2.6.1.4 ”布线 距离 


在 进行 结构 化 布线 系统 设计 时 ， 需 要 注意 到 线 缆 长 度 对 布线 设计 的 影响 。 表 2-17 是 
EIA/TIA-568 标准 提出 的 常用 的 布线 距离 的 最 大 值 。 


表 2-17 布线 距离 


子 系 统 
建筑 群 (楼 栋 间 ) 
主干 (设备 间 到 配 线 间 ) 
配 线 间 到 墙 上 信息 插座 | 
信息 插座 到 网 卡 


屏蔽 双 绞 线 (m) 非 屏 菩 双 绞 线 (m) 


700 
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另外 ， 由 于 高 速 以 太 网 对 双 绞 线 的 距离 限制 ， 大 多 数 情 况 下 ， 建 筑 群 、 干 线 子 系统 
的 双 绞 线 等 线 线 主 要 用 于 电话 、 报 警 信号 等 。 网 络 信号 基本 都 不 再 使 用 双 绞 线 ， 而 是 由 
光纤 进行 替代 。 
2.6.1.5” 线 缆 铺设 准则 


铺设 线 缆 的 质量 会 影响 到 网 络 的 工作 性 能 ， 在 铺设 线 缆 时 要 注意 以 下 方面 。 

(1) 应 充分 考虑 线 缆 的 元 余 ， 以 备 扩展 需要 ， 尤 其 是 新 建 的 楼 栋 。 线 缆 的 扩容 铺设 
成 本 要 远 远大 于 初期 铺设 的 元 余 成 本 。 

(2) 铺设 线 缆 时 应 遵循 国家 和 政府 在 建筑 方面 的 政策 方针 ， 在 铺设 之 前 ， 应 该 确认 
铺设 计划 是 否 符合 结构 化 布线 铺设 的 条 文 规定 。 

(3) 应 聘请 经 验 丰富 的 布线 铺设 承包 商 来 完成 铺设 工作 。 

(4) 铺设 之 前 应 测试 线 缆 设 备 以 保证 要 铺设 的 线 缆 都 满足 需要 的 性 能 指标 。 

(5) 对 于 线 缆 需 要 经 过 压力 通风 系统 时 ， 应 该 使 用 压力 通风 型 线 缆 ， 该 种 线 缆 具 有 
外 层 绝缘 皮 ， 在 阻 燃 的 同时 不 会 产生 毒 烟 。 例 如 ， 在 支撑 天 花 板 的 上 方 ， 散 热 通气 孔 、 
通风 道 以 及 空调 系统 的 环境 下 ， 就 要 求 使 用 这 种 特殊 质量 的 线 缆 。 

(6) 对 所 有 不 同类 型 的 线 缆 进 行 整理 ， 并 制订 出 线 缆 、 设 备 和 连接 器 维护 计划 。 

(7) 一 般 情 况 下 ， 不 要 剥 掉 线 缆 外 面 的 塑料 ， 不 要 将 绞 在 一 起 的 线 缆 末 端 分 开 ， 除 
非 连接 时 必须 要 这 样 做 ;和 否则， 可 能 会 导致 额外 的 串 音 。 

(8) 确保 线 缆 质 量 ， 并 选用 正确 等 级 的 线 缆 来 铺设 。 

(9) 尽 可 能 地 让 数据 线 垂 直通 过 电力 线 。 

(10) 不 要 近 距 离 〈 小 于 15 一 20cm) 平行 铺设 铜 质 电线 和 电力 线 。 应 该 让 数据 线 与 
电力 线 保持 几米 远 的 距离 。 

(11) 使 用 挂钩 来 固定 天 花 板 上 的 线 缆 。 

(12) 保证 线 缆 末 端 尽 可 能 短 ， 以 防 噪声 干扰 。 

(13) 保证 每 个 系统 之 间 处 于 良好 连接 的 状态 ， 应 有 过 压 保险 和 照明 保护 ， 此 外 还 
要 铺设 不 间断 电源 。 


2.6.2 机房 设计 

机 房 的 设计 应 参照 GB 50174 一 1993《 电 子 计 算 机 机 房 设计 规范 》， 需 要 遵循 的 设计 
要 求 如 下 。 
2.6.2.1 机房 位 置 及 设备 布置 


1. 中 心机 房 位 置 选择 
(1) 中 心机 房 的 物理 位 置 在 多 层 建筑 或 高 层 建筑 物 内 宜 设 于 第 1 一 8 层 ， 更 高 层次 不 
适合 作为 机 房 建设 楼 层 。 
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(2) 机 房 位 置 选择 应 符合 以 下 要 求 。 

@ 水 源 充足 、 电 力 比较 稳定 可 靠 、 交 通通 信和 方便 、 自 然 环境 清洁 。 

@ 远离 产生 粉尘 、 油 烟 、 有 害 气体 以 及 生产 或 储存 具有 腐蚀 性 、 易 燃 、 易 爆 物品 
的 工厂 、 仓 库 、 堆 场 等 。 

@ 远离 强 振 源 和 强 噪声 源 。 

@ 避 开 强 电磁 场 干 扰 。 

(3) 当 无 法 避 开 强 电磁 场 干扰 或 为 保障 计算 机 系统 信息 安全 ， 可 采取 有 效 的 电磁 屏 
项 措施 。 

2. 中 心机 房 组 成 

(1) 中 心机 房 组 成 应 按 计 算 机 运行 特点 及 设备 具体 要 求 确定 ， 一 般 宜 由 主机 房 、 基 
本 工作 间 、 第 一 类 辅助 房间 、 第 二 类 辅助 房间 和 第 三 类 辅助 房间 等 组 成 。 

(2) 中 心机 房 的 使 用 面积 应 根据 网 络 与 计算 机 设备 的 外 形 尺 寸 布置 确定 。 在 网 络 与 
计算 机 设备 外 形 尺 寸 不 完全 掌握 的 情况 下 ， 各 级 网 络 与 数据 中 心机 房 的 使 用 面积 应 符合 
下 列 规 定 。 

@ 主机 房 面 积 可 按 下 列 方法 确定 。 

当 系 统 设 备 已 选 型 时 ， 可 按 下 式 计算 

A=KYs, 
i=1 
其 中 : 4 一 一 主机 房 使 用 面积 (单位 为 平方 米 ); 
天 一 一 系数 ， 取 值 为 5 一 7; 
5; 一 一 第 i 个 系统 及 辅助 设备 的 投影 面积 (单位 为 平方 米 ); 
WN 一 一 机 房 内 所 有 设备 的 总 数 。 
当 系 统 的 设备 尚未 选 型 时 ， 可 按 下 式 计 算 
A=KN 
其 中 : 一 一 机 房 内 所 有 设备 的 总 数 ; 
天 一 一 单 台 设备 占用 面积 ， 取 值 为 4.5 一 5.5〈 单 位 为 平方 米 / 台 )。 

@ 基本 工作 间 和 第 一 类 辅助 房间 面积 的 总 和 ， 宣 等 于 或 大 于 主机 房 面积 的 1.5 倍 。 

@ 硬件 及 软件 人 员 办 公 室 按 每 人 3.5 一 4mm 计算 。 

3. 设备 布置 

(1) 网 络 与 计算 机 设备 宜 采用 分 区 布置 ， 一 般 可 分 为 服务 器 区 、 存 储 器 区 、 网 络 设 
备 区 、 安 全 设备 区 、 通 信 区 和 监控 区 等 。 

(2) 需要 经 常 监视 或 操作 的 设备 应 布置 于 方便 行走 、 便 于 操作 的 位 置 。 

(3) 产生 尘埃 及 废物 的 设备 应 远离 对 尘埃 敏感 的 设备 ， 并 宜 集中 布置 在 靠近 机 房 的 
回 风口 处 。 

(4) 主机 房 内 通道 与 设备 间 的 距离 应 符合 下 列 规定 。 
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@ 两 相对 机 柜 正面 之 间 的 距离 不 应 小 于 1.5m。 

@ 机 柜 侧 面 (或 不 用 面 〉 距 墙 不 应 小 于 0.5m， 当 需要 维修 测试 时 ， 则 距 墙 不 应 小 
于 1.2m。 

@ 走道 净 宽 不 应 小 于 1.2m。 


2.6.2.2 ”环境 条 件 


1. 温 、 湿 度 及 空气 含 尘 浓度 

(1) 主机 房 、 基 本 工作 间 内 的 温 、 湿 度 必须 满足 网 络 与 计算 机 设备 的 要 求 。 

(2) 机 房 内 温 、 湿 度 应 满足 下 列 要 求 。 

@ 温度 为 20 土 2'C。 

@ 相对 湿度 为 453% 一 65%。 

@ 温度 变化 率 <5'C/h 并 不 得 结 露 。 

(3) 常用 存储 介质 库 的 温 、 湿 度 应 与 主机 房 相 同 ， 特 殊 存储 介质 库 的 温 、 湿 度 应 根 
据 存储 介质 而 定 。 

(4) 主机 房 内 的 空气 含 尘 浓 度 ， 在 表态 条 件 下 测试 ， 每 升 空气 中 大 于 或 等 于 0.5pm 
的 侍 粒 数 ， 应 少 于 18 000 粒 。 

2 噪声、 电磁 干扰 、 振 动 及 静电 

(1) 主机 房 内 的 噪声 , 在 计算 机 系统 停机 条 件 下 , 在 主 操作 员 位 置 测量 应 小 于 68dB。 

(2) 主机 房 内 无 线 电 干 扰 场 强 ， 在 频率 为 0.15 一 1000MHz 时 ， 不 应 大 于 126dB。 

(3) 主机 房 内 磁场 干扰 环境 场 强 不 应 大 于 800A/m。 

(4) 在 计算 机 系统 停机 条 件 下 ， 主 机 房 地 板 表面 垂直 及 水 平方 向 的 振动 加 速度 值 不 
应 大 于 500mmy/s?。 

(5) 主机 房 地 面 及 工作 台面 的 静电 泄漏 电阻 ， 应 符合 现行 国家 标准 《计算 机 机 房 用 
活动 地 板 技术 条 件 》 的 规定 。 

(6) 主机 房 内 绝缘 体 的 静电 电位 不 应 大 于 1kV。 

3. 室内 装饰 

(1) 主机 房 室 内 装饰 应 选用 气 密 性 好 、 不 起 尘 、 易 清洁 ， 并 在 温 、 湿 度 变化 作用 下 
变形 小 的 材料 ， 并 应 符合 下 列 要 求 。 

@ 墙壁 和 顶棚 表面 应 平整 ， 减 少 积 灰 面 ， 并 应 避免 眩光 。 如 为 抹 灰 时 ， 应 符合 高 
级 抹 灰 的 要 求 。 

@ 应 铺设 活动 地 板 。 活 动 地 板 应 符合 现行 国家 标准 《计算 机 机 房 用 活动 地 板 技 术 
条 件 》 的 要 求 。 铺 设 高 度 应 按 实际 需要 确定 ， 宜 为 200 一 350mm。 

图 活动 地 板 下 的 地 面 和 四 壁 装饰 可 采用 水 泥 砂浆 抹 灰 。 地 面 材料 应 平整 、 耐 磨 。 
当 活 动 地 板 下 的 空间 为 静 压 箱 时 ， 四 壁 及 地 面 均 应 选用 不 起 侍 、 不 易 积 灰 、 易 于 清洁 的 
饰 面 材料 。 
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图 吊顶 宜 选 用 不 起 尘 的 吸 声 材 料 ， 如 吊顶 以 上 及 作为 铺设 管线 用 时 ， 其 四 壁 应 抹 
灰 ， 楼 板 底面 应 清理 干净 ， 当 吊顶 以 上 空间 为 静 压 箱 时 ， 则 项 部 和 四 壁 均 应 抹 灰 ， 并 刷 
不 易 脱 落 的 涂料 。 其 管道 的 饰 面 也 应 选用 不 起 侍 的 材料 。 

(2) 基本 工作 间 、 第 一 类 辅助 房间 的 室内 装饰 应 选用 不 起 侍 、 易 清洁 的 材料 。 墙 壁 
和 项 棚 表面 应 平整 ， 减 少 积 灰 面 。 装 饰 材料 可 根据 需要 采取 防 静电 措施 。 地 面 材料 应 平 
整 、 耐 磨 、 易 除尘 。 

(3) 主机 房 和 基本 工作 间 的 内 门 、 观 察 窗 和 管线 穿 墙 等 的 接 缝 处 ， 均 应 采取 密封 
措施 。 

(4) 中 心机 房 室 内 色调 应 淡雅 柔和 。 

《5) 当主 机 房 和 基本 工作 间 设 有 外 窗 时 ， 宣 采 用 双 层 金属 密闭 窗 ， 并 避免 阳光 的 直 
射 ， 当 采用 铝 合金 窗 时 ， 可 采用 单 层 密闭 窗 ， 但 玻璃 应 为 中 空 玻璃 。 

(6) 当主 机 房 内 设 有 用 水 设备 时 ， 应 采取 有 效 的 防止 给 排水 漫 浇 和 渗 漏 的 措施 。 

4. 噪声 及 振动 控制 

(1) 主机 房 应 远离 噪声 源 ， 当 不 能 避免 时 ， 应 采取 消 声 和 隔 声 措施 。 

(2) 主机 房 内 不 宣 设置 高 噪声 的 空调 设备 。 当 必须 设置 时 ,应 采取 有 效 的 隔 声 措施 。 

(3) 当 第 二 类 辅助 房间 内 有 强烈 振动 的 设备 时 ， 设 备 及 其 通 往 主机 房 的 管道 应 采取 
隔 振 措施 。 


2.6.2.3 ”空气 调节 


1. 一 般 规定 

(1) 主机 房 和 基本 工作 间 ， 均 应 设置 空气 调节 系统 。 

(2) 当主 机 房 和 其 他 房间 的 空调 参数 不 同时 ， 宣 分 别 设 置 空调 系统 。 

2. 热 湿 负 荷 计算 

(1) 计算 机 和 其 他 设备 的 散热 量 应 按 产品 的 技术 数据 进行 计算 。 

(2) 中 心机 房 空调 的 热 湿 负荷 应 包括 下 列 内 容 。 

@ 计算 机 和 其 他 设备 的 散热 。 

@) 建筑 围 护 结构 的 传 热 。 

@ 太阳 辐射 热 。 

@ 人 体 散 热 、 散 湿 。 

@ 照明 装置 散热 。 

@ 新 风 负 荷 。 

3. 气流 组 织 

(1) 主机 房 和 基本 工作 间 空 调 系统 的 气流 组 织 ， 应 根据 设备 对 空调 的 要 求 、 设 备 本 
身 的 冷却 方式 、 设 备 布置 密度 、 设 备 发 热量 以 及 房间 温 湿度 、 室 内 风速 、 防 尘 、 消 声 等 
要 求 ， 并 结合 建筑 条 件 综合 考虑 。 

(2) 气流 组 织 形式 应 按 计 算 机 系统 的 要 求 确 定 。 
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(3) 采用 活动 地 板 下 送 风 时 ， 出 口 风 速 不 应 大 于 3m/s， 送 风气 流 不 应 直 对 工作 人 员 。 

4. 系统 设计 

(1) 主机 房 要 求 空调 的 房间 宜 集中 布置 ; 室内 温 、 湿 度 要 求 相近 的 房间 宜 相 邻 布置 。 

(2) 主机 房 不 宜 设 采暖 散热 器 ， 如 设 散热 器 必须 采取 严格 的 防 漏 措施 。 

(3) 主机 房 的 风 管 及 其 他 管道 的 保温 和 消 声 材 料及 其 粘 结 剂 ， 应 选用 非 燃烧 材料 或 
难 燃烧 材料 。 冷 表面 需 做 隔 气 保温 处 理 。 采 用 活动 地 板 下 送 风 方式 时 ， 楼 板 应 采取 保温 
措施 。 

(4) 风 管 不 宜 穿 过 防火 墙 和 变形 缝 。 如 必须 穿 过 时 ， 应 在 穿 过 防火 墙 处 设防 火 阀 ; 
穿 过 变形 颖 处 ， 应 在 两 侧 设防 火 痢 。 防 火 阀 应 既 可 手动 又 能 自控 。 穿 过 防火 墙 、 变 形 颖 
的 风 管 两 侧 各 2m 范围 内 的 风 管 保温 材料 ， 必 须 采 用 非 燃烧 材料 。 

(5) 空调 系统 应 设 消 声 装置 。 

(6) 主机 房 必须 维持 一 定 的 正 压 。 主 机房 与 其 他 房间 、 走廊 间 的 压 差 不 应 小 于 4.9Pa， 
与 室外 静 压 差 不 应 小 于 9.8Pa。 

(7) 空调 系统 的 新 风量 应 取 下 列 三 种 中 的 最 大 值 。 

@ 室内 总 送 风量 的 5%。 

@ 按 工作 人 员 每 人 40mi/h。 

@ 维持 室内 正 压 所 需 风量 。 

(8) 主机 房 的 空调 送 风 系统 ， 应 设 初 效 、 中 效 两 级 空气 过 滤器 ， 中 效 空气 过 滤器 计 
数 效 率 应 大 于 80%， 末 级 过 滤 装 置 宜 设 在 正 压 端 或 送 风 口 。 

(9) 主机 房 在 冬季 需 送 冷风 时 ， 可 取 室 外 新 风 作 冷 源 。 

(10) 主机 房 空气 调节 控制 装置 应 满足 网 络 设备 与 电子 计算 机 系统 对 温度 、 湿 度 等 
的 要 求 。 

$. 设备 选择 

(1) 空调 设备 的 选用 应 符合 运行 可 靠 、 经 济 和 节能 的 原则 。 

(2) 空调 系统 和 设备 选择 应 根据 计算 机 类 型 、 机 房 面 积 、 发 热量 及 对 温 、 湿 度 和 空 
气 含 尘 浓度 的 要 求 综合 考虑 。 

(3) 空调 冷冻 设备 宜 采用 带 风 冷 凝 器 的 空调 机 。 当 采用 水 冷 机 组 时 ， 对 冷却 水 系统 
冬季 应 采取 防冻 措施 。 

(4) 空调 和 制冷 设备 宜 选 用 高 效 、 低 噪声 、 低 振动 的 设备 。 

(5) 空调 制冷 设备 的 制冷 能 力 ， 应 留 有 159% 一 20% 的 余 量 。 

(6) 设备 长 期 连续 运行 ， 空 调 系统 应 有 备用 装置 。 


2.6.2.4 ”电气 技术 


1. 供 配 电 
(1) 机 房 用 电 负荷 等 级 及 供电 要 求 应 按 现 行 国家 标准 《 供 配 电 系统 设计 规范 》 的 规 
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定 执行 。 

(2) 电子 计算 机 供电 电源 质量 要 求 如 下 。 

@ 稳 态 电压 偏 移 范围 (%): 土 2。 

@) 稳 态 频率 偏 移 范围 (Hz): 士 0.2。 

@ 电压 波形 畸变 率 (%): 3 一 5。 

@ 允许 断 电 持续 时 间 (ms): 0 一 4。 

(3) 机 房 供 配 电 系统 应 考虑 计算 机 系统 有 扩散 、 升 级 等 可 能 性 ， 并 应 预 留 备用 容量 。 

(4) 机 房 宜 由 专用 电力 变压器 供电 。 

(5) 机 房 内 其 他 电力 负荷 不 得 由 计算 机 主机 电源 和 不 间断 电源 系统 供电 ， 主 机 房 内 
宜 设置 专用 动力 配 电 箱 。 

(6) 采用 表态 交流 不 间断 电源 设备 时 ， 应 按 现行 国家 标准 《 供 配 电 系 统 设 计 规 范 》 
和 现行 有 关 行 业 标 准 规定 的 要 求 ， 采 取 限 制 谐 波 分 量 措施 。 

(7) 当 城 市 电网 电源 质量 不 能 满足 电子 计算 机 供电 要 求 时 ， 应 根据 具体 情况 采用 相 
应 的 电源 质量 改善 措施 和 隔离 防护 措施 。 

(8) 机 房 低压 配 电 系统 应 采用 频率 30Hz、 电 压 220/380VTN-S 或 TN-C-S 系统 。 

(9) 单 相 负荷 应 均匀 地 分 配 在 三 相 线路 上 ， 并 应 使 三 相 负荷 不 平衡 度 小 于 20%。 

(10) 电子 计算 机 电源 设备 应 靠近 主机 房 设备 。 

(11) 机 房 电源 进 线 应 按 现 行 国家 标准 《建筑 防 雷 设计 规范 》 采 取 防 雷 措施 。 机 房 
电源 应 采用 地 下 电缆 进 线 。 当 不 得 不 采用 架空 进 线 时 ， 在 低压 架空 电源 进 线 处 或 专用 电 
力 变压器 低压 配 电 母 线 处 ， 应 装 设 低压 避雷 器 。 

(12) 主机 房 内 应 分 别 设置 维修 和 测试 用 电源 插座 ， 两 者 应 有 明显 区 别 标志 。 测 试 
用 电源 插座 应 由 计算 机 主机 电源 系统 供电 ， 其 他 房间 内 应 适当 设置 维修 用 电源 插座 。 

(13) 主机 房 内 活动 地 板 下 部 的 低压 配 电线 路 宜 采用 铜 蕊 屏蔽 导线 或 铜 芯 屏蔽 电缆 。 

(14) 活动 地 板 下 部 的 电源 线 应 尽 可 能 远离 计算 机 信号 线 ， 并 避免 并 排 敷 设 ， 当 不 
能 避免 时 ， 应 采取 相应 的 屏蔽 措施 。 

2. 照明 

(1) 机 房 照明 的 照度 标准 应 符合 下 列 规定 。 

Q@ 主机 房 的 平均 照度 可 按 200、300、500lx 取 值 。 

@ 基本 工作 间 、 第 一 类 辅助 房间 的 平均 照度 可 按 100、150、200lx 取 值 。 

@ 第 二 、 三 类 辅助 房间 应 按 现行 照明 设计 标准 的 规定 取 值 。 

(2) 机 房 照度 标准 的 取 值 应 符合 下 列 规定 。 

@ 间歇 运行 的 机 房 取 低 值 。 

@ 持续 运行 的 机 房 取 中 值 。 

@ 连续 运行 的 机 房 取 高 值 。 

@ 无 窗 建 筑 的 机 房 取 中 值 或 高 值 。 
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(3) 工作 区 内 一 般 照明 的 均匀 度 〈 最 低 照 度 与 平均 照度 之 比 ) 不 宜 小 于 0.7， 非 工作 
区 的 照度 不 宜 低 于 工作 区 平均 照度 的 1/5。 

(4) 机 房 内 应 设置 备用 照明 ， 其 照度 宜 为 一 般 照明 的 /110。 备 用 照明 宜 为 一 般 照明 
的 一 部 分 。 

(5) 机 房 应 设置 疏散 照明 和 安全 出 口 标志 灯 ， 其 照度 不 应 低 于 0.51x。 

(6) 机 房 照 明 线路 宜 穿 钢管 暗 甫 或 在 吊顶 内 穿 钢 管 明 敷 。 

(7) 大 面积 照明 场所 的 灯具 宜 分 区 、 分 段 设置 开关 。 

(8) 技术 夹层 内 应 设 照 明 ， 采 用 单独 支 路 或 专用 配 电 箱 ( 盘 〉 供电 。 

3. 静电 防护 

(1) 基本 工作 间 不 用 活动 地 板 时 ， 可 铺设 导 静 电 地 面 ， 导 静电 地 面 可 采用 导电 胶 与 
建筑 地 面 粘 牢 ， 导 静电 地 面 的 体积 电阻 率 均 应 为 1.0X107~~1.0X10108。cm， 其 导电 性 
能 应 长 期 稳定 ， 且 不 易 发 侍 。 

(2) 主机 房 内 采用 的 活动 地 板 可 由 钢 、 铝 或 其 他 阻 燃 性 材料 制 成 。 活 动 地 板 表 面 应 
是 导 静 电 的 ， 严 禁 暴 露 金属 部 分 。 单 元 活动 地 板 的 系统 电阻 应 符合 现行 国家 标准 《计算 
机 机 房 用 活动 地 板 技术 条 件 》 的 规定 。 

(3) 主机 房 内 的 工作 台面 及 坐 椅 垫 套 材 料 应 是 导 静 电 的 ， 其 体积 电阻 率 应 为 1.0X 
107~1.0X1010Q， ecm。 

(4) 主机 房 内 的 导体 必须 与 大 地 作 可 靠 的 连接 ， 不 得 有 对 地 绝缘 的 孤立 导体 。 

(5) 导 静 电 地 面 、 活 动 地 板 、 工 作 台 面 和 坐 椅 垫 套 必须 进行 静电 接地 。 

(6) 静电 接地 的 连接 线 应 有 足够 的 机 械 强度 和 化 学 稳定 性 。 导 静电 地 面 和 台面 采用 
导电 胶 与 接地 导体 粘 接 时 ， 其 接触 面积 不 宜 小 于 10cm?。 

(7) 静电 接地 可 以 经 限 流 电 阻 及 自己 的 连接 线 与 接地 装置 相连 ， 限 流 电阻 的 阻 值 宜 
为 IMQ。 

4. 接地 

(1) 机 房 接地 装置 的 设置 应 满足 人 身 的 安全 及 电子 计算 机 正常 运行 和 系统 设备 的 安 
全 要 求 。 

(2) 机 房 应 采用 下 列 4 种 接地 方式 。 

@ 交流 工作 接地 ， 接 地 电阻 不 应 大 于 4Q。 

@ 安全 工作 接地 ， 接 地 电阻 不 应 大 于 4Q。 

@ 直流 工作 接地 ， 接 地 电阻 应 按 计 算 机 系统 具体 要 求 确定 。 

@ 防 雷 接地 ， 应 按 现 行 国家 标准 《建筑 防 雷 设计 规范 》 执 行 。 

(3) 交流 工作 接地 、 安 全 保护 接地 、 直 流 工作 接地 和 防 雷 接地 这 4 种 接地 宜 共用 一 
组 接地 装置 ， 其 接地 电阻 按 其 中 最 小 值 确定 。 若 防 雷 接地 单独 设置 接地 装置 ， 其 余 三 种 
接地 宜 共用 一 组 接地 装置 ， 其 接地 电阻 不 应 大 于 其 中 最 小 值 ， 并 应 按 现行 国家 标准 《 建 
筑 防 雷 设计 规范 》 要 求 采取 防止 反击 措施 。 
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(4) 对 直流 工作 接地 有 特殊 要 求 需 单 独 设 置 接地 装置 的 网 络 设 备 与 电子 计算 机 系 
统 ， 其 接地 电阻 值 及 与 其 他 接地 装置 的 接地 体 之 间 的 距离 ， 应 按 计算 机 系统 及 有 关 规 定 
的 要 求 确定 。 

(5) 网 络 设备 与 电子 计算 机 系统 的 接地 应 采取 单 点 接地 并 宜 采 取 等 电位 措施 。 

(6) 当 多 个 网 络 设备 与 电子 计算 机 系统 共用 一 组 接地 装置 时 ， 宣 将 各 网 络 设备 与 电 
子 计算 机 系统 分 别 采 用 接地 线 与 接地 体 连接 。 


2.6.2.5 ”给 水 排水 
1. 一 般 规定 


(1) 与 主机 房 无 关 的 给 排水 管道 不 得 穿 过 主机 房 。 
(2) 机 房 内 的 给 排水 管道 应 采用 难 燃烧 材料 保温 。 


2. 系统 和 管材 

(1) 机 房 应 根据 设备 、 空 调 、 生 活 和 消防 等 对 水 质 、 水 温 、 水 压 和 水 量 的 不 同 要 求 
分 别 设置 循环 和 直流 给 水 系统 。 

(2) 循环 冷却 水 系统 应 按 有 关 规 范 进行 水 质 稳定 计算 ， 并 采取 有 效 的 防 蚀 、 防 腐 、 
防 垢 及 杀菌 措施 。 


(3) 机 房 内 的 给 排水 管道 必须 有 可 靠 的 防 渗 漏 措施 , 暗 甫 的 给 水 管道 宜 用 无 颖 钢管 ， 
管道 连接 宜 用 焊接 。 

(4) 循环 冷却 水 管 可 采用 工程 塑料 管 或 镀 锌 钢管 。 
2.6.2.6 ”消防 与 安全 


1. 一 般 规定 

(1) 电子 计算 机 主机 房 、 基 本 工作 间 应 设 洁净 气体 灭火 系统 ， 并 应 按 现行 有 关 规 范 
的 要 求 执行 。 

(2) 机 房 应 设 火灾 自动 报警 系统 ， 并 应 符合 现行 国家 标准 《火灾 自动 报警 系统 设计 
规范 》 的 规定 。 

(3) 报警 系统 和 自动 灭火 系统 应 与 空调 、 通 风 系统 连锁 。 空 调 系统 所 采用 的 电 加 热 
器 ， 应 设置 无 风 断 电 保护 。 

(4) 机 房 的 安全 设计 ， 除 执行 本 章 的 规定 外 ， 尚 应 符合 现行 国家 标准 《计算 站 场地 
安全 要 求 》 的 规定 。 

(5) 电子 计算 机 用 于 非常 重要 的 场所 ， 其 机 房 在 工程 设计 中 必须 采取 相应 的 技术 
措施 。 

2. 消防 设施 

(1) 凡 设置 洁净 气体 灭火 系统 及 火灾 探测 器 的 机 房 ， 其 吊顶 的 上 、 下 及 活动 地 板 下 ， 
均 应 设置 探测 器 和 喷嘴 。 


460 网 络 规划 设计 师 教 程 


(2) 主机 房 宜 采用 感 烟 探测 器 。 当 设 有 固定 灭火 系统 时 ， 应 采用 感 烟 、 感 温 两 种 探 
测 器 的 组 合 。 

(3) 当主 机 房 内 设置 空调 设备 时 ， 应 受 主 机 房 内 电源 切断 开关 的 控制 。 机 房 内 的 电 
源 切 断 开关 应 靠近 工作 人 员 的 操作 位 置 或 主要 出 入 口 。 

3. 安全 设施 

(1) 主机 房 出 口 应 设置 向 朴 散 方向 开启 且 能 自动 关闭 的 门 。 并 应 保证 在 任何 情况 下 
都 能 从 机 房 内 打开 。 

(2) 凡 设 有 洁净 气体 灭火 装置 的 机 房 ， 应 配置 专用 的 空气 呼吸 器 或 氧气 呼吸 器 。 

(3) 机 房 内 存放 废弃 物 ， 应 采用 有 防火 盖 的 金属 容器 。 

(4) 机 房 内 存放 记录 介质 ， 应 采用 金属 柜 或 其 他 能 防火 的 容器 。 

(5) 根据 主机 房 的 重要 性 ， 可 设 警卫 室 或 保安 设施 。 

(6) 机 房 应 有 防 鼠 、 防 虫 措施 。 


2.6.2.7 ”机 房 区 域 划分 


机 房 应 根据 功能 和 设备 类 别 实现 区 域 划分 ， 实 现 模块 化 一 体 管 理 ， 在 统一 规划 的 原 
则 下 充分 满足 网 络 发 展 的 需要 ， 达 到 方便 维护 ， 迅 速 响 应 ， 灵 活 扩充 ， 保 护 投资 的 目的 。 

1. 机 房 服务 功能 划分 

根据 机 房 所 服务 的 对 象 和 要 实现 的 功能 ， 对 于 无 人 值守 的 机 房 ， 在 建设 初期 至 少 应 
规划 中 心服 务 器 区 、 数 据 存储 区 、 托 管 服务 器 区 、 核 心 网 络 区 、 线 路 设备 区 、 安 全 系统 
区 以 及 设备 配 线 区 7 个 区 域 。 有 人 值守 的 机 房 在 上 述 7 个 区 域 之 外 ， 还 可 以 规划 专门 的 
管理 区 域 ， 各 区 域 规划 应 细 化 到 以 机 柜 为 单位 。 

(1) 中 心服 务 器 区 。 用 于 安装 中 心服 务 器 ， 主 要 包括 中 心 应 用 支撑 平台 所 涉及 的 服 
务 群 和 中 心 管理 服务 器 群 ， 以 及 中 心 所 涉及 的 主要 应 用 服务 器 和 门户 服务 器 群 。 

(2) 数据 存储 区 。 用 于 安装 中 心 数据 存储 设备 ， 主 要 包含 磁盘 阵列 、 磁 带 库 〈 机 入 
存储 交换 机 和 存储 备份 系统 管理 服务 器 等 。 

(3) 托管 服务 器 区 。 用 于 安装 除 中 心服 务 器 外 的 托管 在 机 房 的 应 用 和 托管 主机 ， 网 
络 中 各 分 支 节点 不 具备 机 房 条 件 和 运行 维护 管理 条 件 的 ,应 将 服务 器 托管 于 上 级 机 房 中 。 

(4) 核心 网 络 区 。 用 于 安装 核心 网 络 设备 ， 是 整个 网 络 平台 的 汇 结 点 ， 主 要 包含 核 
心 交换 机 (路 由 器 )、 城 域 网 汇聚 设备 、 服 务 器 接 入 交换 机 、 门 户 网 络 设备 和 Intemet 设 
备 等 。 

机 房 建设 单位 应 尽量 独立 划分 该 区 域 。 如 果 涉 及 办 公 网 络 ， 接 入 网 络 设备 不 推荐 安 
装 在 该 区 域 中 。 

(5) 线路 设备 区 。 用 于 安装 线路 传输 设备 ， 主 要 提供 对 长 途 线路 的 设备 管理 服务 ， 
应 根据 线路 提供 的 服务 商 独 立 安排 机 柜 。 

(6) 安全 系统 区 。 用 于 安装 网 络 建设 所 涉及 的 相关 安全 设备 ， 宣 根据 不 同 的 安全 防 
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护 等 级 独立 安排 机 柜 。 

机 房 建设 初期 至 少 应 规划 中 心 内 部 安全 和 外 部 安全 两 个 设备 柜 。 

(7) 设备 配 线 区 。 在 机 房 设计 时 ， 建 议 采 用 集中 配 线 方式 ， 所 有 设备 之 间 的 连接 线 
路 ， 应 在 独立 的 配 线 柜 中 通过 跳 线 方式 完成 。 机 房 内 应 根据 独立 配 线 柜 的 建设 要 求 ， 规 
划 设 备 配 线 区 。 设 备 配 线 区 用 于 安装 机 房 内 设备 间 跳 线 的 配 线 架 ， 主 要 提供 对 机 房 内 的 
配 线 服务 ， 应 根据 连接 线 的 种 类 独立 入 柜 ， 至 少 应 包含 光 配 和 电 配 。 其 中 ， 光 配 侧 统 一 
采用 ST 接头 (设备 侧 统 一 采用 SC 接头 )， 电 配 统一 采用 RJ-45 接头 。 机 房 内 设备 间 连 
接 采 用 多 模 850nm 光纤 ， 远 程 连接 采用 1310nm 光纤 连接 。 

机 房 内 部 跨 机 柜 连接 线 应 桥架 到 集中 配 线 架 ， 通 过 集中 配 线 架 条 线 实现 连接 ， 实 现 
机 房 内 灵活 调整 ， 方 便 扩展 和 管理 。 

2. 机 房 配 套 设施 划分 

为 保证 机 房 内 设备 安全 稳定 运行 ， 在 机 房 建设 初期 应 建设 强 电 配 电 区 、 不 间断 电源 
保障 区 、 新 风 空 调 区 以 及 消防 设施 区 4 种 配套 设施 区 域 。 

(1) 强 电 配 电 区 。 用 于 机 房 内 220V 强 电 配 电 设备 安装 ， 宣 在 该 区 域 地 板 上 贴 上 黄 
色 警 告 线 ， 或 在 区 域内 设立 显眼 的 标识 牌 。 该 区 域 应 根据 强 电路 数 独立 入 柜 ， 为 中 心机 
房 提供 可 靠 的 电源 保障 系统 ， 并 且 应 与 设备 机 柜 间 形成 完整 的 防 雷 接地 系统 。 

(2) 不 间断 电源 保障 区 (UPS 间 )。 建 议 与 设备 间 采 用 建筑 方式 隔离 ， 承 重地 板 应 
根据 UPS 重量 采取 增加 钢 梁 等 手段 加 固 。 

(3) 其 他 区 域 。 包 括 新 风 空 调 区 、 消 防 设施 区 的 设计 ， 都 应 符合 GB 50174 一 1993 
和 前 文 所 描述 的 要 求 。 


2.6.2.8 ”机 柜 使 用 规范 


1. 服务 器 机 柜 设备 部 署 

服务 器 机 柜 每 机 柜 安 装 的 服务 器 数目 以 4~5 台 为 宜 , 配 线 架 间隔 2U, 托盘 间隔 6U。 
机 柜 底部 为 统一 的 光 配 线 架 与 电 口 配 线 架 ， 连 接 至 独立 配 线 机 柜 。 详 细 情 况 如 图 2-83 
所 示 。 

2. 网 络 机 柜 设备 部 署 

网 络 机 柜 每 机 柜 安 装 的 网 络 设备 ， 若 大 小 为 6 一 10U， 则 不 宣 超 过 2 台 ; 若 大 小 为 4U， 
则 不 宜 超过 4 台 ; 若 大 小 为 IU， 则 不 宜 超过 8 台 。 机 柜 底 部 为 统一 的 光 配 线 架 与 电 口 配 线 
架 ， 连 接 至 独立 配 线 机柜 。 详 细 情 况 如 图 2-84 所 示 。 

3. 电 口 配 线 柜 设备 部 署 

电 口 配 线 柜 应 独立 设置 ， 其 配 线 架 与 设备 机 柜 的 配 线 架 通 过 双 绞 线 互 连 。 电 口 配 线 
柜 安 装 10 个 48 口 2U 配 线 架 ， 间 隔 为 1U， 详 细 情 况 如 图 2-85 所 示 。 

4. 光 口 配 线 柜 设备 部 署 

光 口 配 线 柜 应 独立 设置 ， 其 配 线 架 与 设备 机 柜 的 配 线 架 通过 光纤 互 连 。 光 口 配 线 柜 
安装 16 个 24 芯 1U 光 配 线 架 ， 间 隔 为 1U， 详 细 情 况 如 图 2-86 所 示 。 
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一 “1U8 芯 光 配 线 架 
PP 


2-83 ”服务 器 机 柜 设备 部 署 图 


Ds 


2-85” 电 口 配 线 柜 设备 部 署 图 


42U 


6~.10U 设 备 
串 托盘 1U 
间隔 16U | 
6~10U 设备 

间隔 2U2 | 
间隔 ees EE 2U24 口 RJ-45 配 线 架 
rs 
间隔 Us 1U16 艺 光 配 线 架 


1U24 芯 光 配 线 架 
16 个 


间隔 1U 一 | 
间隔 


2-86 光 口 配 线 柜 设 备 部 署 图 
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2.6.2.9 ”标签 牌 使 用 规范 


1. 机 柜 标签 

机 柜 标 签 用 于 标识 机 柜 功能 区 域 和 机 柜 编号 ， 如 图 2-87 所 示 。 机 柜 标签 应 包含 机 柜 
功能 区 域名 称 、 机 柜 编 号 ， 其 中 机 柜 编号 前 一 个 数字 为 排 号 ， 后 一 个 数字 为 列 号 。 标 牌 
应 采用 金属 或 塑料 材质 ， 图 中 尺寸 可 根据 设计 者 习惯 进行 调整 。 


gmm 60mm 


机 柜 标 签 


2mm 


图 2-87 机 柜 标 签 


2. 设备 标签 

设备 标签 用 于 标识 机 柜 内 设备 ， 如 图 2-88 所 示 。 设 备 标签 应 至 少 包 含 设备 型 号 、 设 
备 名 称 、 管 理 地 址 、 设 备 产 地 、 投 运 日 期 、 项 目 号 、 生 产 厂家 、 供 货 商 和 设备 编号 等 信 
息 ， 可 适当 添加 其 他 信息 ， 例 如 维护 电话 、 厂 商 电 话 等 。 其 中 ， 设 备 编 号 为 机 柜 内 序列 
号 (No.08 表 示 从 上 至 下 第 8 台 设 备 ) ， 图 中 的 标牌 尺寸 可 根据 设计 者 习惯 进行 调整 。 


70mm 


中 心机 房 〈《 设 备 标签) 
设备 型 号 : AR4640 
设备 名 称 : ZX-AR4640-N-0008-S 
管理 地 址 ，59. 208. 255. 18 
设备 产地 : 中 国 杭州 


40mm 


投 运 日 期 ，2006 年 8 月 24 日 

项 目 号 ， 

生 产 商 ， 华 为 3COWM 技 术 有 限 公司 
供 货 商 :~ 


设备 标签 设备 编号 


图 2-88 设备 标签 
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3. 线路 标签 
线路 标签 用 于 标识 机 房 内 线路 ， 如 图 2-89 所 示 。 线 路 标签 应 至 少 包 含 线路 类 别 、 机 


柜 号 、 设 备 号 和 端口 号 ， 详 细 尺 寸 可 以 根据 需要 进行 调整 。 


线路 标签 
43 08 02 01 
1 站 正夫 
机 柜 编号 ”设备 编号 “” 槽 位 号 端口 号 
双 绞 线 (本 凋 ) 国生 国有 双 绞 线 (对 癌 ) 上 s 
4-3 08 02 01 6-740004 和 所 


32.Smm 12mm R2.0mm 
一 | 一 


80mm 


12mm R20mm 
一 


1.5mm 32.5mm 
| 


80mm 


图 2-89 ”线路 标签 


4. 设备 名 称 编码 规范 对 照 表 
与 设备 有 关 的 所 有 文献 资料 等 ， 都 应 采用 统一 的 设备 名 称 编码 ， 设 备 名 称 编码 规范 


对 照 表 如 表 2-18 所 示 。 
表 2-18 设备 名 称 编码 规范 对 照 表 


设备 名 称 编码 规则 
字段 第 一 字段 第 二 字段 | 第 三 字段 | 第 四 字段 | 第 五 字段 
说 明 所 属 单位 缩写 | 设备 型 号 | 设备 分 类 | 设备 序号 | 区 域 缩写 
本 卡片 编号 ZX AR4640 |N 0018 
ai Ee 设备 编号 EE AR4640 |N 0018 
技术 资料 编号 | ZX AR4640 |N 0018 
设备 软 名 Sysname 六 AR4640 | 0018 S 
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续 表 


应 用 


字段 第 一 字段 第 二 字段 | 第 三 字段 


说 明 所 属 单位 缩写 | 设备 型 号 | 设备 分 类 


第 四 字段 
设备 序号 


第 五 字段 
区 域 缩写 


所 属 单位 缩写 : 单位 名 中 关键 字 拼 音 的 第 一 个 字母 大 写 组 合 


设备 型 号 ; 被 编码 设备 的 具体 型 号 


设备 分 类 :; 设备 所 属 类 别 ( 参 照 设备 分 类 缩写 对 照 表 ) 
设备 序号 : 顺序 排序 从 0000 到 9999 设 备 管理 员 分 配 
区 域 缩写 : 网 络 划 分 的 多 个 区 域 的 缩写 (参照 区 域 缩写 对 照 表 ) 


编码 规则 应 用 范围 : 固定 资产 管理 ， 设 备 软 名 ， 文 本 档案 


设备 分 类 缩写 参考 对 照 表 


涵盖 内 容 英文 名 


路 由 器 、 交 换 机 、 拨 号 服务 器 、 光 纤 收 发 


器 、 防 火 墙 、 入 侵 检测 es 


2 | 服务 器 含 小 型 机 、 工 作 站 、PC 服务 器 server 
3 | 个 人 计算 机 | 含 便携 式 计算 机 computer 


4 | 外 部 设备 


打印 机 、 扫 描 仪 、 绘 图 仪 等 pp 


quipment 


5 | 辅助 设备 。 | 网 络 及 服务 器 机 柜 、 空 调 、UPS 等 
equipment 


SE 含 网 络 工 具 、 普 通 工 具 等 tools 


其 
7 | 软件 


系统 软件 、 应 用 软件 、 数据 库 软 件 、 工具 
软件 


software 


8 the others 


缩写 字段 为 分 类 的 英文 名 的 第 一 个 字母 大 写 〈 软 件 和 其 他 因为 第 一 个 字母 和 以 上 冲突 因此 采用 小 写 


加 以 区 分 ) 


2.6.2.10 ”设计 图 纸 


机 房 设 计 是 物理 设计 中 的 关键 内 容 ， 在 实际 工程 项 目 中 ， 应 根据 需要 针对 机 房 的 不 
同 建设 内 容 分 别 形成 设计 图 纸 。 通 常情 况 下 ， 需 要 独立 成 图 的 内 容 如 下 。 

(1) 室内 装饰 效果 图 。 

(2) 区 域 划分 及 隔断 设计 图 。 

(3) 空调 设计 图 。 

(4) 机 房 新 风 设 计 图 。 

(5) 机 房 强 电 系统 设计 图 。 

(6) 机 房 弱电 系统 设计 图 。 

(7) 机 房 照明 系统 设计 图 。 


备注 


小 写字 母 s 
小 写字 母 t 
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(8) 机 房 静电 及 防 雷 设计 图 。 
(9) 机 房 给 水 排水 设计 图 。 
(10) 机 房 防水 设计 图 。 
(11) 机 房 消 防 设计 图 。 
(12) 机 房 防 雷 设 计 图 。 
(13) 机 房 安 防 设计 图 。 
(14) 机 房 监 控 设 计 图 。 


2.6.3 设备 选 型 


在 物理 网 络 设计 阶段 ， 根 据 需 求 说 明 书 、 通 信 规 范 说 明 书 和 届 辑 网 络 设计 说 明 书 选 
择 设备 的 品牌 和 型 号 的 工作 ， 是 较为 关键 的 任务 之 一 。 

在 进行 设备 的 品牌 、 型 号 的 选择 时 ， 应 该 考虑 到 以 下 方面 的 内 容 。 

1. 产品 技术 指标 

产品 的 技术 指标 是 决定 设备 选 型 的 关键 ， 所 有 可 以 选择 的 产品 ， 都 必须 满足 依据 通 
信 规 范 分 析 中 产生 的 技术 指标 ， 也 必须 满足 逻辑 网 络 设计 中 形成 的 逻辑 功能 。 

利用 通信 规范 说 明 书 和 风 辑 网 络 设计 说 明 书 ， 可 以 形成 网 络 设 备 的 各 项 性 能 指标 和 
功能 要 求 ， 设 计 人 员 应 对 市 场 上 的 主流 产品 和 型 号 进行 过 滤 ， 将 不 满足 要 求 的 产品 过 滤 
掉 ， 形 成 可 供 选 择 的 品牌 及 型 号 集合 。 

后 续 的 选 型 工作 ， 就 是 依据 多 种 约束 条 件 在 该 集合 中 进行 挑选 。 

2. 成 本 因素 

除了 产品 的 技术 指标 之 外 ， 设 计 人 员 和 用 户 最 关心 的 就 是 成 本 因素 ， 网 络 中 各 种 设 
备 的 成 本 主要 包括 购置 成 本 、 安 装 成 本 和 使 用 成 本 。 

(1) 购置 成 本 。 购 置 成 本 主要 是 指 采购 设备 的 投入 ， 设 计 人 员 需 要 对 不 同 品牌 型 号 
产品 的 市 场 通用 价格 进行 比较 ， 同 时 还 要 考虑 批量 采购 的 折扣 、 进 口 产 品 在 特殊 行业 免 
税政 策 等 因素 。 

(2) 安装 成 本 。 安 装 成 本 包括 运输 成 本 、 安 装 前 的 寄存 成 本 、 设 备 安装 成 本 和 调试 
成 本 等 。 对 于 普通 网 络 设备 或 者 设备 数量 较 小 的 网 络 工程 ， 这 些 成 本 可 以 不 用 考虑 ; 但 
是 对 于 大 型 网 络 项 目 ， 由 于 设备 数量 多 、 覆 盖 范 围 广 ， 甚 至 还 可 能 使 用 大 型 机 等 特殊 设 
备 ， 安 装 成 本 在 整个 成 本 因素 中 的 比例 较 大 ， 则 不 能 忽略 。 

(3) 使 用 成 本 。 使 用 成 本 是 使 用 设备 过 程 中 周期 性 产生 的 成 本 ， 例 如 设备 维护 、 巡 
检 和 保养 等 。 设 计 人 员 尤 其 要 注意 使 用 成 本 因素 ， 过 高 的 使 用 成 本 将 导致 设备 很 快 就 会 
被 淘汰 。 

设计 人 员 要 针对 不 同 品牌 型 号 产品 的 成 本 进行 估算 ， 并 形成 相应 的 对 照 表 ， 以 便于 
用 户 进行 选择 。 
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3. 原 有 设备 的 兼容 性 

在 产品 选 型 过 程 中 ， 与 原 有 设备 的 兼容 性 是 设计 人 员 必 须 考虑 的 内 容 。 

购置 的 网 络 设备 必须 与 原 有 设备 能 够 实现 线路 互 连 、 协 议 互通 ， 才 能 有 效 地 利用 现 
有 资源 实现 网 络 投资 的 最 优化 。 另 外 ， 保 证 与 原 有 设备 的 兼容 性 ， 也 降低 了 网 络 管理 人 
员 的 管理 工作 量 ， 利 于 实现 全 网 统一 管理 。 

如 果 一 个 网 络 中 ， 大 多 数 网 络 产品 都 是 一 个 品牌 ， 则 新 购置 的 产品 采用 相同 的 品牌 
是 一 个 非常 不 错 的 选择 ,但 是 设计 人 员 也 必须 考虑 由 于 指定 品牌 而 导致 的 厂商 垄断 价格 、 
用 户 购 置 成 本 高 等 经 常 出 现 的 情况 。 因 此 ， 大 多 数 网 络 工程 设计 中 ， 设 计 人 员 面 对 这 种 
情况 时 , 会 将 原 有 品牌 作为 首选 产品 , 但 是 仍然 会 设计 2 一 3 种 备用 或 兼容 品牌 以 形成 
一 定 的 竞争 关系 。 

4. 产品 的 延续 性 

产品 的 延续 性 是 设计 人 员 保 证 网 络 生命 周期 的 关键 因素 ， 产 品 的 延续 性 主要 体现 在 
厂商 对 某 种 型 号 的 产品 是 否 继续 研发 、 继 续 生 产 、 继 续 保证 备品 配件 供应 、 继 续 提供 技 
术 服务 。 

在 进行 网 络 设备 选 型 时 ， 对 于 厂商 已 经 明确 表示 不 再 进行 投入 或 者 在 一 至 两 年 内 即 
将 停产 的 产品 ， 是 不 能 纳入 可 选择 产品 范围 的 。 

5. 设备 可 管理 性 

设备 可 管理 性 是 进行 设备 选 型 时 的 一 个 非 关 键 因素 ， 但 也 是 必须 考虑 的 内 容 。 

设计 人 员 在 购置 设备 时 ， 必 须 考 虑 设备 的 管理 手段 ， 以 及 是 否 能 够 纳入 现 有 或 规划 
的 管理 体系 中 。 目 前 ， 大 多 数 设 备 都 是 可 以 通过 通用 协议 纳入 管理 平台 的 ， 同 时 也 提供 
了 标准 的 管理 接口 。 在 成 本 等 方面 的 因素 相同 时 ， 应 尽 可 能 选择 采用 通用 管理 协议 、 提 
供 标准 管理 接口 、 能 够 纳入 统一 管理 平台 的 产品 。 

6. 厂商 的 技术 支持 

对 于 大 型 网 络 工程 中 采用 的 大 量 设备 ， 普 通 的 网 络 管理 人 员 只 能 完成 日 常 的 简单 维 
护 ， 对 设备 进行 检测 、 保 养 和 维修 等 工作 必须 借助 于 特定 的 专业 人 员 。 由 于 网 络 产品 的 
特殊 性 ， 即 使 是 部 分 网 络 集成 商 ， 也 不 能 提供 有 效 、 合 理 的 技术 支持 服务 。 对 于 这 些 设 
备 的 选择 ， 就 必须 考虑 厂商 的 技术 支持 。 

厂商 的 技术 支持 一 般 包括 定期 巡 检 、 电 话 咨询 服务 、 现 场 故障 排除 和 备品 备件 等 ， 
设计 人 员 在 选择 产品 时 ， 可 以 比较 不 同 品牌 在 本 地 的 分 支 机 构 、 服 务 人 员 数 量 、 售 后 服 
务 电话 和 技术 支持 价格 等 因素 ， 为 设备 选 型 提供 一 定 的 依据 。 

7. 产品 的 备品 备件 库 

产品 的 备品 备件 服务 是 厂商 为 了 提供 较为 优质 的 服务 ， 而 形成 的 常备 空闲 设备 、 配 
件 机 制 。 通 过 在 一 个 备品 备件 中 心 储备 适量 的 设备 或 者 配件 ， 一 旦 该 中 心 覆 盖 区 域内 用 
户 产 生 设备 或 者 配件 故障 ， 则 可 以 从 中 心 抽调 备品 备件 进行 临时 替换 ， 避 免 维 修 工作 导 
致 网 络 服务 中 断 。 
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设计 人 员 可 以 将 备品 备件 库 作为 设备 选 型 的 一 个 参考 因素 ， 在 其 他 条 件 相 同 的 情况 
下 ， 尽 量 选择 本 地 或 附近 城市 具有 良好 备品 备件 库 的 产品 。 对 于 一 些 不 能 中 断 服务 的 特 
殊 网 络 , 例如 电力 系统 的 生产 调度 网 络 来 说 , 备品 备件 库 的 要 求 就 不 再 是 一 个 参考 因素 ， 
而 是 一 个 决定 性 因素 了 。 

8. 综合 满意 度 分 析 

在 进行 设备 选 型 时 ， 设 计 人 员 和 用 户 会 面 对 多 种 设备 的 选择 ， 同 时 又 会 面临 不 同 的 
选择 角度 ， 这 些 角度 之 间 甚 至 是 相互 矛盾 的 。 为 了 解决 这 种 问题 ， 可 以 采用 综合 满意 度 
分 析 方 法 ， 该 方法 针对 不 同 的 角度 制定 特定 的 满意 度 评估 标准 ， 将 每 个 角度 的 最 高 满意 
度 定 为 1。 同 时 ， 根 据 设计 人 员 、 普 通用 户 代表 和 网 络 管理 部 门 负责 人 的 协商 ， 形 成 不 同 
角度 的 比重 权 值 ， 这 些 权 值 之 和 为 1。 在 进行 设备 选 型 时 , 组织 有 关 人 员 和 技术 专家 对 待 选 
的 产品 进行 满意 度 评定 ， 对 多 个 评定 结果 计算 平均 值 ， 将 最 终 满意 度 最 接近 1 的 产品 型 
号 作为 首选 ， 并 依据 满意 度 的 评定 顺序 依次 产生 候选 产品 。 


2.6.4 ”物理 网 络 设计 文档 


物理 网 络 设计 文档 的 作用 是 说 明 在 什么 样 的 特定 物理 位 置 实现 逻辑 网 络 设计 方案 
中 的 相应 内 容 ， 以 及 怎样 有 逻辑 、 有 步骤 地 实现 每 一 步 的 设计 。 此 文档 详细 地 说 明了 连 
接 到 网 络 设备 的 线 缆 的 类 型 ， 以 及 网 络 中 设备 和 连接 器 的 布局 , 即 线 缆 要 经 过 什么 地 方 ， 
设备 和 连接 器 要 安放 的 位 置 ， 以 及 它们 是 如 何 连接 起 来 的 。 

物理 网 络 设计 文档 的 内 容 如 下 。 

物理 网 络 设计 文档 要 清楚 、 简 明 ， 还 必须 正确 和 完整 ， 包 括 以 下 要 素 。 

(1) 主管 人 员 评 价 。 

(2) 物理 网 络 设 计 图 表 。 

(3) 注释 和 说 明 。 

(4) 软 硬 件 清单 ; 

(5) 最 终 费 用 估计 。 

(6) 审批 部 分 。 

(7) 物理 网 络 设 计 的 修改 。 

1. 主管 人 员 评 价 

相应 主管 人 员 需 要 对 项 目 作 简要 概述 ， 概 述 内 容 如 下 。 

(1) 简要 地 描述 项 目 。 

(2) 列 出 设计 过 程 各 个 阶段 的 内 容 。 

(3) 项 目 各 个 阶段 的 目前 状态 ， 包 括 已 完成 阶段 和 正在 进行 的 阶段 。 

2. 物理 网 络 设计 图 表 

物理 网 络 设 计 图 表 给 出 的 是 一 张 详细 的 比例 设计 草图 ， 是 物理 网 络 设 计 的 结构 蓝 
图 。 可 以 用 它 来 估计 所 需 线 缆 的 数量 ， 决 定 每 部 分 线 缆 是 否 满足 要 求 的 长 度 等 。 由 于 物 
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理 网 络 的 实施 都 要 使 用 这 些 图 表 ， 所 以 必须 保证 其 正确 性 和 清晰 性 。 

3. 注释 和 说 明 

为 了 帮助 设计 人 员 和 非 设 计 人 员 在 较 短 的 时 间 了 解 物理 网 络 图 ， 应 该 在 图 表 中 的 相 
应 位 置 加 上 说 明和 注释 ， 用 于 具体 说 明 设 备 连接 的 方式 和 安装 的 位 置 。 这 些 注释 应 该 说 
明 所 需 线 缆 的 类 型 、 所 遵循 的 布线 方案 、 所 考虑 到 的 物理 安全 问题 以 及 其 他 促使 作出 这 
些 决 定 的 依据 。 

4. 软 硬 件 清单 

物理 网 络 设计 文档 中 除了 物理 网 络 图 外 ， 较 为 重要 的 一 项 就 是 详细 描述 网 络 实施 所 
需 的 软 硬 件 清单 。 列 表 清 单 内 容 如 下 。 

(1) 新 的 工具 和 零件 。 列 出 进行 安装 所 需要 的 所 有 工具 和 零件 ， 包 括 连 接 器 、 安 装 
工具 、 软 件 以 及 书籍 等 。 并 把 每 个 网 络 设备 厂商 的 产品 价格 用 表格 的 方式 列 出 来 。 

(2) 利用 网 络 中 现 有 的 设备 。 如 果 部 分 或 全 部 设备 必须 改装 或 升级 ， 那 么 可 以 把 相 
关 材 料 源 加 到 设备 列表 清单 中 。 

(3) 未 应 用 的 设备 。 对 未 应 用 的 原 有 设备 应 该 加 以 注释 ， 说 明 这 些 设备 是 否 可 以 用 
在 其 他 网 络 的 设计 中 ， 或 者 是 否 已 经 被 淘汰 。 

5. 最 终 费 用 估计 

在 物理 设计 完成 以 前 ， 应 该 明确 新 建 网 络 所 需 的 硬件 设备 数量 ， 然 后 使 用 先前 已 经 
得 到 审批 的 设计 方案 来 进行 招标 ， 选 择 网 络 安装 承包 商 ， 并 估计 人 力 费用 和 整个 网 络 的 
安装 费用 。 

6， 审 批 部 分 

在 物理 设计 方案 实施 前 ， 必 须 通过 高 层 人 员 的 审批 ， 并 需要 各 个 主管 人 员 和 网 络 设 
计 组 代表 在 物理 设计 文档 说 明 书 上 签名 。 

7. 物理 网 络 设计 的 修改 

物理 网 络 设计 是 最 接近 施工 的 设计 ， 设 计 方 案 的 每 一 项 改动 都 会 直接 影响 到 工程 的 
实施 。 因 此 ， 必 须 有 关于 物理 设计 的 修改 约定 ， 对 可 能 产生 变更 的 方面 以 及 变更 后 的 应 
对 措施 进行 明确 。 


2.7 网 络 测试 运行 和 维护 


2.7.1 网 络 测 试 概 述 


1. 网络 测 试 现状 

近年 来 随 着 网 络 规模 扩大 ， 网 络 带宽 增加 ， 异 构 性 和 复杂 性 不 断 提高 ， 网 络 新 业务 
不 断 出 现 ， 在 这 种 情况 下 ， 网 络 运行 质量 的 问题 日 益 突出 。 网 络 运行 质量 好 坏 直 接 关 系 
到 网 络 能 否 正 常 运行 及 用 户 体验 ， 因 此 在 网 络 建设 之 初 以 及 网 络 运行 过 程 中 有 必要 进行 
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网 络 测试 。 网 络 测试 能 获得 第 一 手 网 络 运行 数据 ， 为 合理 规划 、 建 设 网 络 ， 有 效 管理 、 
维护 网 络 葛 定 了 基础 。 越 来 越 多 的 技术 和 管理 人 员 认 识 到 网 络 测试 的 重要 性 ， 因 为 合理 
的 网 络 测试 是 网 络 正常 运行 的 基础 ， 通 过 测试 还 能 对 网 络 日 后 的 扩容 提供 参考 数据 ， 避 
免 在 网 络 建设 、 维 护 、 使 用 方面 的 重复 投资 ， 这 有 利于 降低 管理 成 本 、 提 高 效益 ， 同 时 
通过 测试 能 够 加 快 网 络 部 署 的 速度 、 迅 速 发 现 网 络 中 的 问题 、 确 保 网 络 中 的 各 项 服务 。 

2. 网 络 测试 方法 

网 络 测试 有 多 种 测试 方法 ， 根 据 测 试 中 是 否 向 被 测 网 络 注入 测试 流量 ， 可 以 将 网 络 
测试 方法 分 为 主动 测试 和 被 动 测试 。 

主动 测试 是 指 利 用 测试 工具 有 目的 地 主动 向 被 测 网 络 注入 测试 流量 ， 并 根据 这 些 测 
试 流量 的 传送 情况 来 分 析 网 络 技术 参数 的 测试 方法 。 主 动 测试 具备 良好 的 灵活 性 ， 它 能 
够 根据 测试 环境 明确 控制 测量 中 所 产生 的 测量 流量 的 特征 ， 如 特性 、 采 样 技术 、 时 标 频 
率 、 调 度 、 包 大 小 和 类 型 〈 模 拟 各 种 应 用 ) 等 。 主 动 测试 使 测试 能 够 按照 测试 者 的 意图 
进行 ， 容 易 进行 场景 仿真 。 主 动 测试 的 问题 在 于 安全 性 。 主 动 测试 主动 向 被 测 网 络 注入 
测试 流量 ， 是 “入 侵 式 ” 的 测量 ， 必 然 会 带 来 一 定 的 安全 隐患 。 如 果 在 测试 中 进行 细致 
的 测试 规划 ， 可 以 降低 主动 测试 的 安全 隐患 。 

被 动 测试 是 指 利用 特定 测试 工具 收集 网 络 中 活动 的 元 素 〈 包 括 路 由 器 、 交 换 机 和 服 
务 器 等 设备 ) 的 特定 信息 ， 以 这 些 信 息 作为 参考 ， 通 过 量化 分 析 实现 对 网 络 性 能 、 功 能 
进行 测量 的 方法 。 常 用 的 被 动 测试 方式 包括 通过 SNMP 协议 读 取 相 关 MIB 信息 ， 通 过 
Sniffer、Ethereal 等 专用 数据 包 捕获 分 析 工 具 进 行 测试 。 被 动 测试 的 优点 是 它 的 安全 性 。 
被 动 测试 不 会 主动 向 被 测 网 络 注入 测试 流量 ， 因 此 就 不 会 存在 注入 DDoS、 网 络 欺骗 等 
安全 隐患 。 被 动 测试 的 缺点 是 不 够 灵活 ， 局 限 性 较 大 ， 而 且 因 为 是 被 动 地 收集 信息 ， 并 
不 能 按照 测量 者 的 意愿 进行 测试 ， 会 受到 网 络 机 构 、 测 试 工具 等 多 方面 的 限制 。 

3. 网 络 测试 工具 

网 络 测试 工具 主要 有 线 缆 测试 仪 、 网 络 协议 分 析 仪 和 网 络 测试 仪 。 线 缆 测 试 仪 用 于 
检测 线 缆 质 量 , 可 以 直接 判断 线路 的 通 断 状况 。 网 络 协议 分 析 仪 多 用 于 网 络 的 被 动 测试 ， 
分 析 仪 捕获 网 络 上 的 数据 包 和 数据 帧 ， 网 络 维护 人 员 通 过 分 析 捕 获 的 数据 可 以 迅速 检查 
网 络 问题 。 网 络 测试 仪 是 专用 的 软 硬 件 结合 的 测试 设备 ， 具 有 特殊 的 测试 板 卡 和 测试 软 
件 ， 这 类 设备 多 用 于 网 络 的 主动 测试 ， 能 对 网 络 设备 、 网 络 系统 以 及 网 络 应 用 进行 综合 
测试 ， 具 备 典型 的 三 大 功能 : 数据 报 捕获 、 负 载 产 生 和 智能 分 析 。 网 络 测试 仪 多 用 于 大 
型 网 络 的 测试 。 


2.7.2 ”线路 与 设备 测试 


1. 线路 测试 
网 络 线路 测试 是 基础 测试 。 在 这 个 过 程 中 ， 跳 线 、 插 座 和 模块 等 网 络 系统 中 各 个 连 
接 部 件 的 实际 物理 特性 都 可 以 被 了 解 ， 这 样 用 户 可 以 清楚 地 了 解 每 根 线 缆 是 怎样 被 安装 
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以 及 是 否 被 正确 连接 。 

统计 数据 表明 ，50% 以 上 的 网 络 故 障 与 布线 有 关 。 网 络 线路 介质 种 类 丰富 ， 有 单 模 
光纤 、 多 模 光 纤 、 双 绞 线 和 同 轴 电线 等 ， 同 时 接口 类 型 也 众多 ， 有 RJ45 头 、BNC 头 和 
RS232 头等 。 这 些 介质 有 些 特性 我 们 用 肉眼 便 可 识别 ， 如 物理 外 形 、 长 短 大 小 等 ， 有 些 
就 必须 用 仪器 检测 ， 如 线路 串扰 、 传 输 频率 和 信号 衰减 等 。 绝 大 多 数 符合 ANSLTIA/ 
EIA-568A/B 互 连 标准 验证 的 测试 仪 都 带 有 识别 开路 、 短 路 、 错 对 和 分 又 等 线 对 故障 的 功 
能 ， 这 些 常见 故障 很 可 能 是 在 压 接 模块 和 打 线 过 程 中 就 出 现 了 。 通 过 测试 可 以 尽早 地 排 
除 故 障 ， 以 提高 网 络 运行 质量 。 

双 绞 线 和 光纤 是 目前 应 用 最 广泛 的 通信 介质 。 根据 EIA/TIA568B 布线 标准 、TSB-67 
测试 标准 ， 合 格 的 双 绞 线 与 光纤 布线 应 满足 表 2-19 所 示 的 测试 指标 。 


表 2-19 双 绞 线 与 光纤 测试 指标 
500m， 波 长 850nm 
误 减 <3.9dB 


2. 网 络 设备 测试 

对 网 络 设备 如 交换 机 、 路 由 器 和 防火 墙 等 进行 性 能 测试 ， 目 的 是 了 解 设备 完成 各 项 
功能 时 的 性 能 情况 。 性 能 测试 的 参数 包括 吞吐 量 、 时 延 、 帧 丢失 率 、 背 靠背 数据 帧 处 理 
能 力 、 地 址 缓冲 容量 、 地 址 学 习 速 率 和 协议 的 一 致 性 等 。 测 试 主要 是 验证 设备 是 否 符合 
各 项 规范 的 要 求 ， 确 保 网 络 设备 互联 时 不 会 出 现 问题 。 

常用 网 络 设备 测试 标准 如 下 。 

(1) 交换 机 。 网 络 系统 中 使 用 的 交换 机 的 端口 密度 、 数 据 帧 转发 功能 、 数 据 帧 过 滤 
功能 、 数 据 帧 转发 及 过 滤 的 信息 维护 功能 、 运 行 维护 功能 、 网 络 管理 功能 及 性 能 指标 应 
符合 产品 规格 说 明 。 也 可 参考 YD/T 1096 一 2001、YD/T 1097 一 2001 的 规定 。 

(2) 路 由 器 。 网 络 系统 中 使 用 的 路 由 器 设备 的 接口 功能 、 通 信 协 议 功 能 、 数 据 包 转 
发 功能 、 路 由 信息 维护 、 管 理 控制 功能 、 安 全 功能 及 性 能 指标 应 符合 产品 规格 说 明 。 也 
可 参考 GB/T 18019 一 1999、GB/T 18020 一 1999 和 YD/T 1132 一 2001 的 规定 。 

(3) 防火 墙 。 网 络 系统 中 若 使 用 防火 墙 设备 ， 则 设备 的 用 户 数据 保护 功能 、 识 别 和 
鉴别 功能 、 密 码 功 能 、 安 全 审计 功能 及 性 能 指标 应 符合 产品 规格 说 明 。 也 可 参考 GB/T 
18019 一 1999、GB/T 18020 一 1999 和 YD/T 1132 一 2001 的 规定 。 


2.7.3 网 络 系统 测试 


网 络 系统 测试 主要 是 网 络 是 否 为 应 用 系统 提供 了 稳定 、 高 效 的 网 络 平台 ， 如 果 网 络 
系统 不 够 稳定 ， 网 络 应 用 就 不 可 能 快速 稳定 。 对 于 常规 的 以 太 网 进行 系统 测试 ， 主 要 包 


双 绞 线 
合格 指标 
光纤 

合格 指标 


线路 延 时 
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括 系 统 连 通 性 、 链 路 传输 速率 、 吞 吐 率 、 传 输 时 延 及 链 路 层 健康 状况 测试 等 基本 功能 
测试 。 

1. 系统 连通 性 

所 有 联网 的 终端 都 必须 按 使 用 要 求全 部 连通 。 

1) 系统 连通 性 测试 方法 

系统 连通 性 测试 结构 示意 图 如 图 2-90 所 示 。 


Ai 4 上 Pra 


节点 1 节点 2 ” 节点 n 


被 测 网 络 


测试 工具 
图 2-90 系统 连通 性 测试 结构 示意 图 


(1) 将 测试 工具 连接 到 选 定 的 接 入 层 设备 的 端口 ， 即 测试 点 。 

(2) 用 测试 工具 对 网 络 的 关键 服务 器 、 核 心 层 和 汇聚 层 的 关键 网 络 设 备 〈 如 交换 机 
和 路 由 器 ) 进行 10 次 Ping 测试 ， 每 次 间隔 1s， 以 测试 网 络 连通 性 。 测 试 路 径 要 覆盖 所 有 
的 子 网 和 VLAN。 

(3) 移动 测试 工具 到 其 他 位 置 的 测试 点 ， 重 复 步骤 (2) ， 直 到 遍历 所 有 测试 抽样 
设备 。 

2) 抽样 规则 

以 不 低 于 接 入 层 设 备 总 数 10% 的 比例 进行 抽样 测试 ， 抽 样 少 于 10 台 设 备 的 ， 全 部 
测试 。 每 台 抽 样 设备 中 至 少 选择 一 个 端口 ， 即 测试 点 ， 测 试点 应 能 够 覆盖 不 同 的 子 网 和 
VLAN。 

3) 合格 标准 

(1) 单项 合格 判 据 : 测试 点 到 关键 节点 的 Ping 测试 连通 性 达到 100% 时 ， 则 判定 单 
点 连通 性 符合 要 求 。 

(2) 综合 合格 判 据 : 所 有 测试 点 的 连通 性 都 达到 100% 时 ， 则 判定 系统 的 连通 性 符合 
要 求 ; 否则 判定 系统 的 连通 性 不 符合 要 求 。 

2. 链 路 传输 速率 

链 路 传输 速率 是 指 设备 间 通 过 网 络 传输 数字 信息 的 速率 。 对 于 10M 以 太 网 , 单 向 最 
大 传输 速率 应 达到 10Mbps; 对 于 100M 以 太 网 ， 单 向 最 大 传输 速率 应 能 达到 100Mbps; 
对 于 1000M 以 太 网 ， 单 向 最 大 传输 速率 应 能 达到 1000Mbps。 发 送 端口 和 接收 端口 的 利 
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用 率 关 系 应 符合 表 2-20 的 规定 。 
表 2-20 ”发 送 端口 和 接收 端口 的 利用 率 对 应 关系 


病员 共享 式 以 太 网 / 半 双 工交 换 式 以 太 网 

和 发 送 端口 利用 率 接收 端口 利用 率 | 发 送 端口 利用 率 | 接收 端口 利用 率 
10M 以 太 网 | 100% 三 99% 三 45% 
100M 以 太 网 | 100% 三 99% 三 45% 


1000M 以 太 网 100% 宇 99% 三 45% 


1) 链 路 传输 速率 测试 方法 


rT a 


图 2-91 链 路 传输 速率 测试 结构 示意 图 


链 路 传输 速率 测试 结构 示意 图 如 图 2-91 所 示 , 测试 工具 1 产生 流量 , 测试 工具 2 接 
收 流量 。 若 发 送 端口 和 接收 端口 位 于 同一 机 房 ， 也 可 用 一 台 具 备 双 端 口 测试 能 力 的 测试 
工具 实现 。 测 试 必须 在 空 载 网 络 中 进行 。 

(1) 将 用 于 发 送 和 接收 的 测试 工具 分 别 连接 到 被 测 网 络 链 路 的 源 和 目的 交换 机 端口 
或 末端 HUB 端口 上 。 

(2) 对 于 交换 机 ， 测 试 工具 1 在 发 送 端口 产生 100% 满 线 速 流量 ; 对 于 HUB， 测 试 工 
有 具 1 在 发 送 端口 产生 50% 线 速 流量 〈 建 议 将 帧 长 度 设置 为 15318 字 节 ) 。 

(3) 测试 工具 2 在 接收 端口 对 收 到 的 流量 进行 统计 ， 计 算 其 端口 利用 率 。 

2) 抽样 规则 

对 核心 层 的 骨干 链 路 ， 应 进行 全 部 测试 ， 对 汇聚 层 到 核心 层 的 上 联 链 路 ， 应 进行 全 
部 测试 ， 对 接 入 层 到 汇聚 层 的 上 联 链 路 ， 以 不 低 于 10% 的 比例 进行 抽样 测试 ， 抽 样 链 路 
数 不 足 10 条 时 ， 按 10 条 进行 计算 或 者 全 部 测试 。 

3) 合格 标准 

发 送 端口 和 接收 端口 的 利用 率 车 符合 表 2-20 的 要 求 , 则 判定 系统 的 传输 速率 符合 要 
求 ， 否 则 判定 系统 的 传输 速率 不 符合 要 求 。 

3. 吞吐 率 

吞吐 率 是 指 空 载 网 络 在 没有 丢 包 的 情况 下 ， 被 测 网 络 链 路 所 能 达到 的 最 大 数据 包 转 

吞吐 率 测 试 需 按照 不 同 的 帧 长 度 (包括 64、128、256、512、1024、1280 和 1518 
字 节 ) 分 别 进行 测量 。 系 统 在 不 同 帧 大 小 情况 下 ， 从 两 个 方向 测 得 的 最 低 吞 吐 率 应 符合 
表 2-21 的 规定 。 
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表 2-21 系统 的 吞吐 率 要 求 


测试 帧 长 10M 以 太 网 100M 以 太 网 1000M 以 太 网 

〈 字 节 ) 帧 / 秒 吞吐 率 帧 / 秒 吞吐 率 帧 / 秒 吞吐 率 
64 三 14731 99% 三 104 166 70% 三 1 041 667 70% 
128 三 8361 99% 三 67 567 80% 三 633 446 75% 
256 三 4483 99% 三 362 318 80% 
S13 三 2326 99% 23 261 三 199 718 85% 
1024 > 1185 99% 过 11 853 三 107 758 90% 
1280 三 951 99% 三 9 519 三 91 345 95% 
1518 三 804 99% 三 8 046 三 80 461 99% 


1) 网 络 吞吐 率 测试 方法 


图 2-92 网 络 吞 吐 率 测试 结构 示意 图 


网 络 吞 吐 率 测试 结构 示意 图 如 图 2-92 所 示 , 测试 工具 1 产生 流量 ,测试 工具 2 接收 
流量 。 若 发 送 端口 和 接收 端口 位 于 同一 机 房 ， 也 可 用 一 台 具 备 双 端口 测试 能 力 的 测试 工 
具 实 现 。 测 试 必须 在 空 载 网 络 下 分 段 进行 ， 包 括 接 入 层 到 汇聚 层 链 路 、 汇 聚 层 到 核心 层 
链 路 、 核 心 层 间 骨 干 链 路 ， 以 及 经 过 接 入 层 、 汇 聚 层 和 核心 层 的 用 户 到 用 户 链 路 。 

(1) 将 两 台 测试 工具 分 别 连接 到 被 测 网 络 链 路 的 源 和 目的 交换 机 端口 上 。 

(2) 先 从 测试 工具 1 向 测试 工具 2 发 送 数据 包 。 

(3) 用 测试 工具 1 按照 一 定 的 帧 速率 ， 均 匀 地 向 被 测 网 络 发 送 一 定数 量 的 数据 包 。 

(4) 如 果 所 有 的 数据 包 都 被 测试 工具 2 正确 接收 到 ， 则 增加 发 送 的 帧 速率 ， 和 否则 减 

(5) 重复 步骤 (3) ， 直 到 测 出 被 测 网 络 /设备 在 未 丢 包 的 情况 下 ， 能 够 处 理 的 最 大 
帧 速率 。 

(6) 分 别 按 照 不 同 的 帧 大 小 (包括 64、128、256、512、1024、1280 和 1518 字 节 》 
重复 步骤 (2) 一 (4) 。 

〈7) 从 测试 工具 2 向 测试 工具 1 发 送 数据 包 ， 重 复 步骤 (3) 一 (6) 。 

2) 抽样 规则 

对 核心 层 的 骨干 链 路 ， 应 进行 全 部 测试 ， 对 汇聚 层 到 核心 层 的 上 联 链 路 ， 应 进行 全 
部 测试 ， 对 接 入 层 到 汇聚 层 的 上 联 链 路 ， 以 不 低 于 10% 的 比例 进行 抽样 测试 ， 抽 样 链 路 
数 不 足 10 条 时 ， 按 10 条 进行 计算 或 者 全 部 测试 ， 对 于 端 到 端的 链 路 〈 即 经 过 接 入 层 、 
汇聚 层 和 核心 层 的 用 户 到 用 户 的 网 络 路 径 )， 以 不 低 于 终端 用 户 数 量 5% 的 比例 进行 抽 
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测 ， 抽 样 链 路 数 不 足 10 条 时 ， 按 10 条 进行 计算 或 者 全 部 测试 。 

3) 合格 标准 

若 系统 在 不 同 帧 大 小 情况 下 , 从 两 个 方向 测 得 的 最 低 吞 吐 率 值 都 符合 表 2-21 的 要 求 
时 ， 判 定 系统 的 吞吐 率 符合 要 求 ， 否 则 判定 系统 的 吞吐 率 不 符合 要 求 。 

4. 传输 时 延 

传输 时 延 是 指数 据 包 从 发 送 端口 地址) 到 目的 端口 〈 地 址 ) 所 需 经 历 的 时 间 。 通 
常 传输 时 延 与 传输 距离 、 经 过 的 设备 和 信道 的 利用 率 有 关 。 在 网 络 正常 情况 下 ， 传 输 时 
延 应 不 影响 各 种 业务 (如 视频 点 播 、 基 于 IP 的 语音 /VoIP 和 高 速 上 网 等 ) 的 使 用 。 

考虑 到 发 送 端 测试 工具 和 接收 端 测试 工具 实现 精确 时 钟 同步 的 复杂 性 ， 传 输 时 延 一 
般 通 过 环 回 方式 进行 测量 ， 单 向 传输 时 延 为 往返 时 延 除 以 2。 系 统 在 1518 字 节 帧 长 情况 
下 ， 从 两 个 方向 测 得 的 最 大 传输 时 延 应 不 超过 1 ms。 

1) 传输 时 延 测试 方法 

当 被 测 网 络 的 收发 端口 位 于 不 同 的 地 理 位 置 , 测试 结构 示意 图 如 图 2-93 所 示 ， 需 要 
由 两 台 工具 来 完成 测试 ， 测 试 工具 1 产生 流量 ， 测 试 工具 2 接收 流量 ， 并 将 测试 数据 流 
环 回 。 当 被 测 网 络 的 收发 端口 位 于 同一 机 房 ， 测 试 结构 示意 图 如 图 2-94 所 示 ， 可 由 一 台 
具有 双 端 口 测试 能 力 的 测试 工具 完成 ， 测 试 工 具 的 一 个 端口 用 于 产生 流量 ， 另 一 个 端口 
用 于 接收 流量 。 测 试 必须 在 空 载 网 络 下 分 段 进行 ， 包 括 接 入 层 到 汇聚 层 链 路 、 汇 聚 层 
到 核心 层 链 路 ， 以 核心 层 间 骨干 链 路 ， 以 及 经 过 接 入 层 、 汇 聚 层 和 核心 层 的 用 户 到 用 户 
链 路 。 


被 测 网 络 
测试 工具 1 被 测 网 络 测试 工具 2 测试 工具 
图 2-93 ”网 络 传输 时 延 测 试 结 构 示 意图 (1) 图 2-94 ”网络 传输 时 延 测试 结构 示意 图 (2) 


(1) 将 测试 工具 《端口 ) 分 别 连接 到 被 测 网 络 链 路 的 源 和 目的 交换 机 端口 上 。 

(2) 先 从 测试 工具 1《〈 发 送 端口 ) 向 测试 工具 2 〈 接 口 端口 ) 均匀 地 发 送 数 据 包 。 

(3) 向 被 测 网 络 发 送 一 定数 目的 1518 字 节 的 数据 帧 ， 使 网 络 达到 所 测 得 的 最 大 吞 
吐 率 。 

(4) 在 图 2-93 中 ， 由 测试 工具 1 向 被 测 网 络 发 送 特定 的 测试 帧 ， 在 数据 帧 的 发 送 和 接 
收 时 刻 都 打上 相应 的 时 间 标 记 〈Timestamp) ， 测 试 工具 2 接收 到 测试 帧 后 ， 将 其 返回 给 
测试 工具 1。 在 图 2-94 中 ,测试 工具 通过 发 送 端口 发 出 带 有 时 间 标 记 的 测试 帧 ， 在 接收 端 
口 接收 测试 帧 。 

(5) 测试 工具 1 计算 发 送 和 接收 的 时 间 标 记 之 差 ， 便 可 得 一 次 结果 。 
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(6) 重复 步骤 (3) 一 《4) 20 次 ， 传 输 时 延 是 对 20 次 测试 结果 的 平均 值 。 

(7) 在 图 2-93 中 ， 从 测试 工具 2 向 测试 工具 1 发 送 数据 包 ,， 重复 步骤 (3) 一 (6)， 
所 得 到 时 延 是 双向 往返 时 延 ， 单 向 时 延 可 通过 除 2 计算 获得 。 在 图 2-94 中 ， 交 换 收 发 端 
口 ， 重 复 步 又 (3) 一 〈6)， 所 得 到 时 延 是 单 向 时 延 。 

2) 抽样 规则 

对 核心 层 的 骨干 链 路 ， 应 进行 全 部 测试 ， 对 汇聚 层 到 核心 层 的 上 联 链 路 ， 应 进行 全 
部 测试 ， 对 接 入 层 到 汇聚 层 的 上 联 链 路 ， 以 不 低 于 10% 的 比例 进行 抽样 测试 ， 抽 样 链 路 
数 不 足 10 条 时 ， 按 10 条 进行 计算 或 者 全 部 测试 ， 对 于 端 到 端的 链 路 〈 即 经 过 接 入 层 、 
会 聚 层 和 骨干 层 的 用 户 到 用 户 的 网 络 路 径 )， 以 不 低 于 终端 用 户 数量 5% 的 比例 进行 抽 
测 ， 抽 样 链 路 数 不 足 10 条 时 ， 按 10 条 进行 计算 或 者 全 部 测试 。 

3) 合格 标准 

若 系统 在 1518 字 节 帧 长 情况 下 ， 从 两 个 方向 测 得 的 最 大 传输 时 延 都 小 于 等 于 1 ms， 
则 判定 系统 的 传输 时 延 符合 要 求 ， 否 则 判定 系统 的 传输 时 延 不 符合 要 求 。 

S， 丢 包 率 

丢 包 率 是 指 网 络 在 70% 流 量 负荷 情况 下 ， 由 于 网 络 性 能 问题 造成 部 分 数据 包 无 法 被 
转发 的 比例 。 在 进行 丢 包 率 测试 时 , 需 按 照 不 同 的 帧 长 度 (包括 64、128、256、512、1024、 
1280、1518 字 节 ) 分 别 进行 测量 ， 测 得 的 丢 包 率 应 符合 表 2-22 的 规定 。 


表 2-22 丢 包 率 要 求 


测试 帧 长 ( 字 节 ) 10M 以 太 网 100M 以 太 网 1000M 以 太 网 
流量 负荷 丢 包 率 | 流量 负荷 | 丢 包 率 
64 70% <0.1% 70% | <0.1% 
128 70% <0.1% 70% | <0.1% 
256 70% <0.1% 70% | <0.1% 
512 70% <0.1% 70% | <0.1% 
1024 70% <0.1% 70% <0.1% 70% | <0.1% 


1280 70% <0.1% 70% <0.1% 70% <0.1% 
1518 70% <0.1% 70% <0.1% 70% <0.1% 


1) 丢 包 率 测试 方法 


测试 工具 1 -到 被 测 网 络 站 wa | 


图 2-95 ” 丢 包 率 测试 结构 示意 图 


丢 包 率 测试 结构 示意 图 如 图 2-95 所 示 , 测试 工具 1 产生 流量 , 测试 工具 2 接收 流量 。 
若 发 送 端口 和 接收 端口 位 于 同一 机 房 ,也 可 用 一 台 具 备 双 端口 测试 能 力 的 测试 工具 实现 。 
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测试 链 路 应 分 段 进行 ， 包 括 接 入 层 到 汇聚 层 链 路 、 汇 聚 层 到 核心 层 链 路 、 核 心 层 间 骨 干 
链 路 ， 以 及 经 过 接 入 层 、 汇 聚 层 和 核心 层 的 用 户 到 用 户 链 路 。 

(1) 将 两 台 测试 工具 分 别 连接 到 被 测 网 络 链 路 的 源 和 目的 交换 机 端口 上 。 

(2) 测试 工具 1 按 一 定 的 流量 负荷 ， 均 匀 地 向 被 测 网 络 发 送 一 定数 目的 数据 帧 ， 测 
试 工具 2 接收 负荷 ， 测 试 数据 帧 丢失 的 比例 。 

(3) 发 送 的 流量 负荷 从 100% 至 10% 以 10% 的 步 长 依次 递减 ， 如 果 测 得 在 某 一 流量 
负荷 情况 下 丢 包 率 为 0%， 则 记录 此 时 流量 负荷 。 

(4) 分 别 按照 不 同 的 帧 大 小 (包括 64、128、256、512、1024、1280 和 1518 字 节 ) 
重复 步骤 (3) 。 

2) 抽样 规则 

对 核心 层 的 骨干 链 路 ， 应 进行 全 部 测试 ， 对 汇聚 层 到 核心 层 的 上 联 链 路 ， 应 进行 全 
部 测试 ， 对 接 入 层 到 汇聚 层 的 上 联 链 路 ， 以 不 低 于 10% 的 比例 进行 抽样 测试 ， 抽 样 链 路 
数 不 足 10 条 时 ， 按 10 条 进行 计算 或 者 全 部 测试 ， 对 于 端 到 端的 链 路 〈 即 经 过 接 入 层 、 
汇聚 层 和 骨干 层 的 用 户 到 用 户 的 网 络 路 径 )， 以 不 低 于 终端 用 户 数量 5% 的 比例 进行 抽 
测 ， 抽 样 链 路 数 不 足 10 条 时 ， 按 10 条 进行 计算 或 者 全 部 测试 。 

3) 合格 标准 

若 系统 在 不 同 帧 大 小 情况 下 测 得 的 丢 包 率 都 符合 表 2-22 的 要 求 , 则 判定 系统 丢 包 率 
符合 要 求 ， 否 则 判定 系统 丢 包 率 不 符合 要 求 。 

6. 以 太 网 链 路 层 健康 状况 指标 

(1) 链 路 利用 率 。 链 路 利用 率 是 指 网 络 链 路 上 实际 传送 的 数据 吞吐 率 与 该 链 路 所 能 
支持 的 最 大 物理 带宽 之 比 。 也 可 理解 为 网 络 从 事 传输 数据 时 间 与 网 络 运行 时 间 之 比 。 

链 路 的 利用 率 包 括 最 大 利用 率 和 平均 利用 率 。 最 大 利用 率 的 值 同 测试 统计 采样 间隔 
有 一 定 的 关系 ， 采 样 间隔 越 短 ， 则 越 能 反映 出 网 络 流量 的 突 发 特性 ， 因 此 最 大 利用 率 的 
值 就 越 大 。 对 于 共享 式 以 太 网 和 交换 式 以 太 网 ， 链 路 的 持续 平均 利用 率 应 符合 表 2-23 的 
规定 。 

(2) 错误 率 及 各 类 错误 。 错 误 率 是 指 网 络 中 所 产生 的 各 类 错误 帧 占 总 数据 帧 的 比率 。 
常见 的 以 太 网 错误 类 型 包括 长 帧 、 短 帧 、 有 FCS 错误 的 帧 、 超 长 错误 帧 、 欠 长 帧 和 帧 对 
齐 差错 帧 ， 网 络 的 错误 率 〈 不 包括 冲突 ) 应 符合 表 2-23 的 规定 。 

(3) 广播 帧 和 组 播 帧 。 在 以 太 网 中 ， 广 播 帧 和 组 播 帧 数量 应 符合 表 2-23 的 要 求 。 

(4) 冲突 〈 碰 撞 ) 率 。 处 于 同一 网 段 的 两 个 站 点 如 果 同 时 发 送 以 太 网 数据 帧 ， 就 会 
产生 冲突 。 冲 突 帧 是 指 在 数据 帧 到 达 目 的 站 点 之 前 与 其 他 数据 帧 相 碰撞 ， 而 造成 其 内 容 
被 破坏 的 帧 。 共 享 式 以 太 网 和 半 双 工交 换 式 以 太 网 传输 模式 下 , 冲突 现象 是 极为 普遍 的 。 
过 多 的 冲突 会 造成 网 络 传输 效率 的 严重 下 降 。 

冲突 帧 同 发 送 的 总 帧 数 之 比 ， 称 为 冲突 〈 或 碰撞 ) 率 。 一 般 情况 下 ， 网 络 的 碰撞 率 
应 符合 表 2-23 的 规定 。 
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表 2-23 链 路 的 健康 状况 指标 要 求 


加 技术 要 求 

于 共享 式 以 太 网 / 半 双 工交 换 式 以 太 网 “| 全 双 工交 换 式 以 太 网 
链 路 平均 利用 率 ( 带 宽 %) <40 <70 
广播 率 〈 帧 / 秒 ) <50 <50 


组 播 率 〈 帧 / 秒 ) 
错误 率 〈 占 总 帧 数 %) 
冲突 〈 碰 撞 ) 率 〈 占 总 帧 数 %) 


<40 
<1l 


2.7.4 网 络 应 用 测试 


网 络 系统 应 用 的 性 能 测试 是 为 确保 网 络 在 实际 运行 状况 下 ， 各 种 基本 应 用 服务 能 够 
达到 用 户 可 以 接受 的 性 能 和 服务 质量 。 
网 络 系统 的 基本 应 用 服务 主要 包括 DHCP 服务 、DNS 服务 、Web 访问 服务 、E-mail 
服务 和 文件 服务 。 

1. 应 用 服务 标准 

(1) DHCP 服务 性 能 指标 。DHCP 服务 器 响应 时 间 应 不 大 于 0.5s。 

(2) DNS 服务 性 能 指标 。DNS 服务 器 响应 时 间 应 不 大 于 0.5s。 

(3) Web 访问 服务 性 能 指标 。Web 访问 服务 器 性 能 测试 如 下 。 

。 HTTP 第 一 响应 时 间 : 内 部 网 站 点 访问 时 间 应 不 大 于 1s。 

。 HTTP 接收 速率 : 内 部 网 站 点 访问 速率 应 不 小 于 10000bps。 

(4) E-mail 服务 性 能 指标 。E-mail 服务 器 主要 指 SMTP 服务 器 和 POP3 服务 器 ， 其 
性 能 测试 如 下 。 

。 邮件 写 入 时 间 : 1K 字 节 邮件 写 入 服务 器 时 间 应 不 大 于 1s。 

。 邮件 读 取 时 间 : 从 服务 器 读 取 1K 字 节 邮件 的 时 间 应 不 大 于 1s。 

(5) 文件 服务 性 能 指标 。 文 件 服务 器 性 能 指标 应 符合 表 2-24 的 规定 。 


表 2-24 文件 服务 器 性 能 指标 要 求 


测试 指标 指标 要 求 〈 文 件 大 小 为 100KB) 
服务 器 连接 时 间 〈s) <0.5 
写 入 速率 (bps) >10 000 
读 取 速率 (bps) > 10 000 
删除 时 间 〈s) <0.5 
断 开 时 间 (s) <0.5 


2. 应 用 服务 性 能 测试 方法 
应 用 服务 性 能 测试 结构 示意 图 如 图 2-96 所 示 。 
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服务 器 1 | 服务 器 2 | .| 服务 器 n 


被 测 网 络 


测试 工具 


2-96 ”应 用 服务 性 能 测试 结构 示意 图 


(1) 将 测试 工具 连接 到 被 测 网 络 的 某 一 用 户 接 入 端口 〈 网 段 ) 。 

(2) 用 测试 工具 仿真 终端 用 户 ， 模 拟 一 个 用 户 访问 被 测 服务 器 的 全 过 程 。 对 访问 过 
程 中 各 阶段 性 能 指标 进行 测试 ， 包 括 服务 器 响应 时 间 、 写 入 速率 、 读 取 速 率 、 删 除 时 间 
和 断 开 时 间 等 。 

(3) 重复 步骤 (2)， 对 下 一 个 服务 器 进行 测试 ， 直 到 测 完 所 有 的 服务 器 。 

(4) 按照 一 定 的 时 间 间 隔 ， 重 复 步骤 (2) 一 3) ， 共 进行 10 次 测试 ， 记 录 10 次 测 
试 结果 的 平均 值 。 

(5) 移动 测试 工具 到 其 他 网 段 ， 重 复 步 骤 (2) 一 〈3) ， 从 而 测试 网 络 不 同 接 入 位 
置 访问 服务 的 性 能 水 平 。 

测试 点 符合 某 应 用 服务 要 求 时 ， 判 定 该 服务 性 能 符合 要 求 ， 否 则 判定 该 服务 性 能 不 
符合 要 求 。 


2.7.5 测试 报告 


测试 完成 后 最 终 应 提供 一 份 完整 的 测试 报告 ， 测 试 报告 应 对 这 次 测试 中 的 测试 对 
象 、 测 试 工具 、 测 试 环 境 、 测 试 内 容 和 测试 结果 等 进行 详细 论述 。 测 试 报告 是 整个 网 络 
工程 文档 的 重要 组 成 部 分 ， 人 们 对 工程 的 满意 程度 和 对 工程 质量 的 认可 程度 很 大 程度 上 
来 源 于 这 份 报告 。 

测试 报告 的 形式 并 不 固定 ， 可 以 是 一 个 简短 的 总 结 ， 也 可 以 是 很 长 的 书面 文档 。 通 
常 测试 报告 包含 以 下 信息 。 

(1) 测试 目的 : 用 一 两 句 话 解释 本 次 测试 的 目的 。 

(2) 结论 : 从 测试 中 得 到 的 信息 和 推荐 下 一 步 的 行动 。 

(3) 测试 结果 总 结 : 对 测试 进行 总 结 并 由 此 得 出 结论 。 

(4) 测试 内 容 和 方法 : 简单 地 描述 测试 是 怎样 进行 的 ， 应 该 包括 负载 模式 、 测 试 脚 
本 和 数据 收集 方法 ， 并 且 要 解释 采取 的 测试 方法 怎样 保证 测试 结果 和 测试 目的 相关 ， 测 
试 结果 是 否 可 重 现 。 

(5) 测试 配置 网 络 测试 配置 用 图 形 表示 出 来 。 
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测试 报告 包括 对 各 测试 项 目的 测试 结果 ， 应 以 数字 、 图 形 和 列表 等 方式 记录 下 来 ， 
结论 则 以 书面 文档 方式 叙述 。 完 整 、 客 观 的 测试 报告 是 网 络 运行 与 维护 的 重要 参考 。 


2.8 ”网络 故 障 分 析 与 处 理 


网 络 环境 越 复杂 ， 发 生 故 障 的 可 能 性 就 越 大 ， 引 发 故障 的 原因 也 就 越 难 确定 。 网 络 
故障 往往 具有 特定 的 故障 现象 。 这 些 现 象 可 能 比较 笼统 ， 也 可 能 比较 特殊 。 利 用 特定 的 
故障 排除 工具 及 技巧 ， 在 具体 的 网 络 环境 下 观察 故障 现象 ， 细 致 分 析 ， 最 终 必 然 可 以 查 
找 出 一 个 或 多 个 引发 故障 的 原因 。 一 旦 能 够 确定 引发 故障 的 根源 ， 那 么 故障 都 可 以 通过 
一 系列 的 步 又 得 到 有 效 的 处 理 。 


2.8.1 网 络 故障 排除 思路 


在 排除 网 络 中 出 现 的 故障 时 ， 使 用 非 系统 化 的 方法 进行 故障 排除 ， 可 能 会 浪费 大 量 
宝贵 的 时 间 及 资源 ， 事 倍 功 半 ， 使 用 系统 化 的 方法 往往 更 为 有 效 。 系 统 化 的 方法 流程 如 
下 : 定义 特定 的 故障 现象 ， 根 据 特定 现象 推断 出 可 能 发 生 故 障 的 所 有 潜在 的 问题 ， 直 到 
故障 现象 不 在 出 现 为 止 。 

图 2-97 给 出 了 一 性 般 故 障 排除 模型 的 处 理 流 程 。 这 一 流程 并 不 是 解决 网 络 故障 时 必 
须 严 格 遵守 的 步骤 ， 只 是 为 建立 特定 网 络 环境 中 故障 排除 的 流程 提供 了 基础 。 


故障 定义 


人 1 收集 信息 


根据 情况 ， 分 析 原 因 
建立 行动 计划 
实施 行动 计划 


观察 结果 现象 消失 


1 现象 持续 
重复 进程 
问题 被 解决 ， 终 止 进程 


图 2-97 一 般 性 故障 排除 模型 
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(1) 分 析 网 络 故障 时 ， 要 对 网 络 故 障 有 个 清晰 的 描述 ， 并 根据 故障 的 一 系列 现象 以 
及 潜在 的 症结 对 其 进行 准确 的 定义 。 

要 想 对 网 络 故障 做 出 准确 的 分 析 ， 首 先 应 该 了 解 故障 表现 出 来 的 各 种 现象 ， 然 后 确 
定 可 能 会 产生 这 些 现象 的 故障 根源 或 现象 。 例 如 ， 主 机 没有 对 客户 机 的 服务 请 求 做 出 响 
应 (一 种 故障 现象 ), 可 能 产生 这 一 现象 的 原因 主要 包括 主机 配置 错误 、 网 络 接口 卡 损坏 
或 路 由 器 配置 不 正确 等 。 

(2) 收集 有 助 于 确定 故障 症结 的 各 种 信息 。 

向 受 故 障 影响 的 用 户 、 网 络 管理 员 、 经 理 及 其 他 关键 人 员 询 问 详 细 的 情况 。 从 网 络 
管理 系统 、 协 议 分 析 仪 的 跟踪 记录 、 路 由 器 诊断 命令 的 输出 信息 以 及 软件 发 行 注释 信息 
等 信息 源 中 收集 有 用 的 信息 。 

(3) 依据 所 收集 到 的 各 种 信息 考虑 可 能 引发 故障 的 症结 。 利 用 所 收集 到 的 这 些 信息 
可 以 排除 一 些 可 能 引发 故障 的 原因 。 

例如 ， 根 据 收 集 到 的 信息 也 许可 以 排除 硬件 出 现 问 题 的 可 能 性 ， 于 是 就 可 以 把 关注 
的 焦点 放 在 软件 问题 上 。 应 该 充分 地 利用 每 一 条 有 用 的 信息 ， 尽 可 能 地 缩小 目标 范围 
从 而 制定 出 高 效 的 故障 排除 方法 。 

(4) 根据 剩余 的 潜在 症结 制订 故障 的 排查 计划 。 从 最 有 可 能 的 症结 入 手 ， 每 次 只 做 
一 处 改动 。 

之 所 以 每 次 只 做 一 处 改动 ， 是 因为 这 样 有 助 于 确定 针对 固定 故障 的 排除 方法 。 如 果 
同时 做 了 两 处 或 多 处 改动 ， 也 许 能 排除 故障 ， 但 是 难以 确定 到 底 是 哪些 改动 消除 了 故障 
现象 ， 而 且 对 日 后 解决 同样 的 故障 也 没有 太 大 的 帮助 。 

(5) 实施 制订 好 的 故障 排除 计划 ， 认 真 执行 每 一 步骤 ， 同 时 进行 测试 ， 查 看 相应 的 
现象 是 否 消失 。 

(6) 当做 出 一 处 改动 时 ， 要 注意 收集 相应 操作 的 反馈 信息 。 通 常 ， 应 该 采用 在 步骤 
(2) 中 使 用 的 方法 〈 利 用 诊断 工具 并 与 相关 人 员 密 切 配合 ) 进行 信息 的 收集 工作 。 

(7) 分 析 相 应 操作 的 结果 ， 并 确定 故障 是 否 已 被 排除 。 如 果 故 障 已 被 排除 ， 那 么 整 
个 流程 到 此 结束 。 

《8) 如 果 故 障 依然 存在 ， 就 得 针对 剩余 的 潜在 症结 中 最 可 能 的 一 个 制订 相应 的 故障 
排除 计划 。 回 到 步骤 (4)， 依 旧 每 次 只 做 一 处 改动 ， 重 复 此 过 程 ， 直 到 故障 被 排除 为 止 。 

如 果 能 提前 为 网 络 故 障 做 好 准备 工作 ， 那 么 网 络 故障 的 排除 也 就 变 得 比较 容易 了 。 
对 于 各 种 网 络 环境 来 说 ， 最 为 重要 的 是 保证 网 络 维护 人 员 总 能 够 获得 有 关 网 络 当前 情况 
的 准确 信息 。 只 有 利用 完整 、 准 确 的 信息 才能 够 对 网 络 的 变动 做 出 明智 的 决策 ， 才 能 够 
尽快 、 尽 可 能 简单 地 排除 故障 。 因 此 ， 在 网 络 故障 的 排除 过 程 中 ， 最 为 关键 的 是 确保 当 
前 掌握 的 信息 及 资料 是 最 新 的 。 

对 于 每 个 已 经 解决 的 问题 ， 一 定 要 记录 其 故障 现象 以 及 相应 的 解决 方案 。 这 样 ， 就 
可 以 建立 一 个 问题 /回答 数据 库 , 今后 发 生 类 似 的 情况 时 ， 公 司 里 的 其 他 人 员 也 能 参考 这 
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些 案例 。 从 而 极 大 地 降低 对 网 络 进行 故障 排除 的 时 间 ， 最 小 化 对 业务 的 负面 影响 。 
2.8.2 ”网 络 故 障 排除 工具 


排除 网 络 故障 的 常用 工具 有 多 种 ， 总 的 来 说 可 以 分 为 三 类 : 设备 或 系统 诊断 命令 、 


网 络 管理 工具 以 及 专用 故障 排除 工具 。 


除 。 


1. 设备 或 系统 诊断 命令 

许多 网 络 设备 及 系统 本 身 就 提供 大 量 的 集成 命令 来 帮助 监视 并 对 网 络 进行 故障 排 

下 面 介绍 了 一 些 常用 命令 的 基本 用 法 。 

。 show 命令 : 可 以 用 于 监测 系统 的 安装 情况 与 网 络 的 正常 运行 状况 , 也 可 以 用 于 对 
故障 区 域 的 定位 。 

。 debug 命令 : 帮助 分 离 协议 和 配置 问题 。 

ping 命令 : 用 于 检测 网 络 上 不 同 设备 之 间 的 连通 性 。 

trace 命令 : 可 以 用 于 确定 数据 包 在 从 一 个 设备 到 另 一 个 设备 直至 目的 地 的 过 程 中 

所 经 过 的 路 径 。 

1) show 

show 命令 是 一 个 功能 非常 强大 的 监测 及 故障 排除 工具 。 使 用 show 命令 可 以 实现 以 


下 多 种 功能 。 


(1) 监测 路 由 器 在 最 初 安装 时 的 工作 情况 。 

(2) 监测 正常 的 网 络 运行 状况 。 

(3) 分 离 存在 问题 的 接口 、 节 点 、 介 质 或 者 应 用 程序 。 

(4) 确定 网 络 是 否 出 现 拥塞 现象 。 

(5) 确定 服务 器 、 客 户 机 以 及 其 他 邻接 设备 的 工作 状态 。 

以 下 为 show 命令 最 常用 的 一 些 形式 。 

。 show version: 显示 系统 硬件 、 软 件 版 本 ， 配 置 文件 的 名 称 和 来 源 以 及 引导 图 像 的 
配置 。 

show running-config: 显示 当前 正在 运行 的 路 由 器 所 采用 的 配置 情况 。 

show startup-config: 显示 保存 在 非 易 失 随 机 存储 器 (NVRAM) 中 的 路 由 器 配置 
信息 。 

。 show interfaces: 显示 配置 在 路 由 器 或 者 访问 服务 器 上 的 所 有 接口 的 统计 信息 。 这 
一 命令 的 输出 信息 根据 网 络 接口 所 在 的 网 络 的 配置 类 型 不 同 而 有 所 不 同 。 

show controllers: 显示 网 络 接口 卡 控制 器 的 统计 信息 。 

show flash: 显示 闪存 的 布局 结构 和 信息 内 容 。 

show buffers: 显示 路 由 器 上 的 缓冲 池 的 统计 信息 。 

show memory summary: 显示 存储 池 统 计 信息 ， 以 及 关于 系统 存储 器 分 配 符 的 活 
动 信 息 ， 并 给 出 从 数据 块 到 数据 块 的 存储 器 使 用 程序 清单 。 
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show process cpu: 显示 路 由 器 上 活动 进程 的 有 关 信 息 。 
show stacks: 显示 进程 或 者 中 断 例 程 的 堆栈 使 用 情况 ， 以 及 最 后 一 次 系统 重新 启 
动 的 原因 。 
。 show debugging: 显示 关于 排除 故障 类 型 的 信息 〈 路 由 器 允许 此 种 故障 类 型 )。 还 
可 以 使 用 许多 其 他 的 show 命令 。 

关于 使 用 show 命令 的 细节 ， 可 以 参阅 相关 设备 的 命令 参考 手册 。 

2) debug 

利用 debug 特权 命令 可 以 查看 到 大 量 有 用 的 信息 ， 其 中 包括 网 络 接口 上 可 以 看 到 的 
(或 无 法 看 到 的 ) 通信 过 程 、 网 络 节点 产生 的 错误 信息 、 特 定 协议 的 诊断 数据 包 以 及 其 他 
有 用 的 故障 排除 数据 。 

debug 命令 可 以 用 于 故障 的 定位 ， 但 是 不 能 用 于 监测 网 络 的 正常 运行 状况 。 这 是 因 
为 debug 命令 需要 占用 处 理 器 的 大 量 时 间 ， 可 能 打 断 路 由 器 的 正常 操作 。 因 此 ， 应 该 在 
寻找 特定 类 型 的 数据 包 或 通信 故障 ， 并 且 已 经 将 引发 故障 的 原因 缩小 到 尽 可 能 小 的 范围 
内 时 ， 才 使 用 debug 命令 。 

不 同形 式 的 debug 命令 所 输出 的 格式 也 大 不 相同 : 有 些 命令 对 每 一 数据 包 都 产生 一 
行 输出 信息 ， 而 有 些 命令 对 每 一 数据 包产 生 多 行 输出 信息 ， 有些 命令 产生 大 量 的 输出 信 
息 ， 而 有 些 命令 只 是 偶尔 才 有 输出 信息 ; 一 些 命令 产生 文本 行 ， 而 另 一 些 命令 产生 格式 
信息 。 

如 果 需 要 将 debug 命令 的 输出 信息 保存 起 来 ， 那 么 可 以 将 其 输出 信息 保存 到 文件 之 
中 。 在 许多 情况 下 ， 使 用 第 三 方 厂商 提供 的 诊断 工具 更 为 有 效 ， 也 比 使 用 debug 命令 带 
来 的 负面 影响 要 小 。 

3) ping 

利用 ping 命令 ， 可 以 检查 目的 主机 可 否 到 达 以 及 网 络 的 连通 性 。ping 命令 可 以 在 
AppleTalk、ISO 无 连接 网 络 服务 (ISO ConnectionlessNetwork Service, CLNS)、IP、 Novell、 
Apollo、VINES、DECnet 以 及 XNS 等 多 种 网 络 中 测试 基本 的 网 络 连 通 性 。 

对 于 卫 网 络 来 说 ，ping 命令 发 送 Intemet 控制 报 文 协议 (Intemet Control Message 
Protocol，ICMP) 的 Echo 报 文 。ICMP 协议 能 够 报告 错误 信息 ， 并 且 能 够 提供 有 关 人 P 
数据 包 寻 址 的 信息 。 如 果菜 一 站 点 收 到 ICMP 协议 的 Echo 报 文 ， 那 么 它 会 向 源 节点 发 
送 一 个 ICMP Echo 应 答 (ICMP Echo Reply) 消息 。 

利用 ping 命令 的 扩展 模式 可 以 指定 人 P 报头 的 选项 。 这 样 就 使 得 路 由 器 可 以 进行 更 
为 完善 的 测试 。 在 ping 命令 的 扩展 命令 提示 符 下 输入 yes， 就 可 以 进入 ping 命令 的 扩展 
模式 。 

在 网 络 正常 工作 时 , 使 用 ping 命令 查看 该 命令 是 如 何在 正常 情况 下 起 作用 的 ， 这 样 
当 进 行 故障 排除 时 就 可 以 与 正常 情况 进行 比较 。 

4) trace 
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trace 命令 能 显示 出 发 出 的 分 组 向 目的 地 传送 时 所 走 的 路 线 。 当 数据 包 超过 其 生命 周 
期 (Time to Live，TTIL) 数 值 时 ， 将 会 产生 出 错 信息 ，trace 命令 就 是 利用 这 一 机 制 实现 
的 。 首 先 ， 发 送 TIL 数值 为 1 的 探测 包 。 这 将 导致 路 径 上 的 第 一 个 路 由 器 丢弃 该 探测 包 
并 返回 “超时 (time exceeded)” 错 误 信 息 。 随 后 ，trace 命令 继续 发 送 几 个 探测 包 ， 并 为 
其 分 别 显示 探测 包 的 往返 时 间 。 每 经 过 3 次 探测 后 ，TTL 值 加 1。 每 个 送出 的 分 组 能 产 
生 两 个 错误 消息 中 的 一 个 。“ 超 时 ”错误 信息 表明 , 路 径 中 的 路 由 器 已 经 收 到 该 探测 包 并 
将 其 丢弃 。“ 端 口 不 可 达 (port unreachable)” 错 误 信息 表明 ， 目 的 节点 已 经 收 到 该 探测 
包 ， 但 是 由 于 目的 节点 无 法 将 其 提交 给 相应 的 进程 而 将 其 丢弃 。 如 果 在 接收 到 应 答 信息 
之 前 定时 器 出 现 超时 ， 那 么 trace 命令 将 显示 为 星 号 (*)。 当 接收 到 目的 节点 的 应 答 信息 
时 ,或 者 当 TTL 数值 超过 了 人 允许 的 最 大 值 时 ， 或 者 当 用 户 中 断 trace 进程 时 ，trace 命令 
就 结束 了 。 

与 ping 命令 一 样 , 当 网 络 正常 工作 时 查看 trace 命令 是 如 何在 正常 情况 下 起 作用 的 ， 
这 样 当 进行 故障 排除 时 就 可 以 与 正常 情况 进行 比较 。 

2. 网 络 管理 工具 

一 些 厂商 推出 的 网 络 管理 工具 如 Cisco Works、HP OpenView 等 都 含有 监测 以 及 故障 
排除 功能 , 这 有 助 于 对 网 络 互 联 环境 的 管理 和 故障 的 及 时 排除 。 下 面 以 Cisco Works 2000 
为 例 介绍 网 络 管理 工具 对 排除 网 络 故障 的 主要 功能 。 

(1) Cisco View 提供 动态 监视 和 故障 排除 功能 ， 包 括 Cisco 设备 、 统 计 信 息 和 综合 
配置 信息 的 图 形 显示 。 

(2) 网 络 性 能 监视 器 (Intemetwork Performance Monitor，IPM) 使 网 络 工程 师 能 够 
利用 实时 和 历史 报告 主动 地 对 网 络 响应 进行 故障 诊断 与 排除 。 

(3) TrafficDirector RMON 应 用 程序 是 一 个 远程 监测 工具 ， 它 能 够 收集 数据 、 监 测 
网 络 活动 并 查找 潜在 的 问题 。 

(4) VlanDirector 交换 机 管理 应 用 程序 是 一 个 针对 VLAN 虚拟 局 域 网 ) 的 管理 工 
具 ， 它 能 够 提供 对 VLAN 的 精确 描绘 。 

3. 专用 故障 排除 工具 

在 许多 情况 下 ， 专 用 故障 排除 工具 可 能 比 设备 或 系统 中 集成 的 命令 更 有 效 。 例 如 ， 
在 网 络 通信 和 负载 繁重 的 环境 中 ， 运 行 需要 占用 大 量 处 理 器 时 间 的 debug 命令 将 会 对 整个 
网 络 造成 巨大 影响 。 然 而 ， 如 果 在 “可 疑 ”的 网 络 上 接 入 一 台 网 络 分 析 仪 ， 就 可 以 尽 可 
能 少 地 干扰 网 络 的 正常 工作 ， 并 且 很 有 可 能 在 不 打 断 网 络 正常 工作 的 情况 下 获取 到 有 用 
的 信息 。 下 面 为 一 些 典 型 的 用 于 排除 网 络 故障 的 专用 工具 。 

(1) 欧姆 表 、 数 字 万 用 表 及 电缆 测试 器 可 以 用 于 检测 电缆 设备 的 物理 连通 性 。 

(2) 时 域 反 射 计 〈(Time Domain Reflectors，TDR) 与 光 时 域 反射 计 (Optical Time 
Domain Reflectors，OTDR) 可 以 用 于 测定 电缆 断裂 、 阻 抗 不 匹配 以 及 电缆 设备 其 他 物理 
故障 的 具体 位 置 。 
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(3) 断 接 盒 (breakout boxes) 、 智 能 测试 盘 和 位 /数据 块 错 误 测 试 器 (BERT/BLERT) 
可 以 用 于 外 围 接 口 的 故障 排除 。 

(4) 网 络 监测 器 通过 持续 跟踪 穿越 网 络 的 数据 包 ， 能 每 隔 一 段 时 间 提 供 网 络 活动 的 
准确 图 像 。 

(5) 网 络 分 析 仪 《例如 ，NAI 公司 的 Sniffer) 可 以 对 OSI 所 有 7 层 上 出 现 的 问题 进 
行 解码 ， 自 动 实时 地 发 现 问题 ， 对 网 络 活动 进行 清晰 的 描述 ， 并 根据 问题 的 严重 性 对 故 
障 进行 分 类 。 

1) 欧姆 表 、 数 字 万 用 表 及 电缆 测试 器 

欧姆 表 、 数 字 万 用 表 属 于 电线 检测 工具 中 比较 低档 的 一 类 。 这 类 设备 能 够 测量 诸如 
交 直 流 电压 、 电 流 、 电 阻 、 电 容 以 及 电缆 连续 性 之 类 的 参数 。 利 用 这 些 参数 可 以 检测 电 
缆 的 物理 连通 性 。 

电缆 测试 器 (扫描 器 ) 也 可 以 用 于 检测 电缆 的 物理 连通 性 。 电 缆 测试 器 适用 于 屏蔽 
双 绞 线 (STP)、 非 屏蔽 双 绞 线 (UTP)、10BaseT、 同 轴 电 缆 及 双 芯 同 轴 电缆 等 。 通 常 ， 
电线 测试 器 能 够 提供 下 述 的 功能 。 

(1) 测试 并 报告 电缆 状况 ， 其 中 包括 近 端 串 音 〈Near End Crosstalk，NEXT)、 信 号 
衰减 及 噪音 。 

(2) 实现 TDR、 通 信 检 测 及 布线 图 功能 。 

(3) 显示 局 域 网 通信 中 媒体 访问 控制 (Media Access Control，MAC) 层 的 信息 ， 提 
供 诸如 网 络 利 用 率 、 数 据 包 出 错 率 之 类 的 统计 信息 ， 完 成 有 限 的 协议 测试 功能 (例如 ， 
TCP/IP 网 络 中 的 ping 测试 ) 。 

对 于 光缆 而 言 ， 也 有 类 似 的 测试 设备 。 由 于 光线 的 造价 及 其 安装 的 成 本 相对 较 高 ， 
因此 在 光缆 的 安装 前 后 都 应 该 对 其 进行 检测 。 对 光纤 连续 性 的 测试 需要 使 用 可 见 光源 或 
反射 计 。 光 源 应 该 能 够 提供 三 种 主要 波长 〈 即 850nm、1300nm 和 1550nm) 的 光线 ， 配 
合 能 够 测量 同样 波长 的 功率 计 一 起 使 用 , 便 可 以 测 出 光纤 传输 中 的 信号 衰减 与 回程 损耗 。 

2) 时 域 反射 计 与 光 时 域 反 射 计 

电缆 检测 工具 中 比较 高 档 的 就 是 时 域 反射 计 。 这 种 设备 能 够 快速 地 定位 金属 电缆 中 
的 断路 、 短 路 、 压 接 、 扭 接 、 阻 抗 不 匹配 及 其 他 问题 。 

TDR 的 工作 原理 基于 信号 在 电线 末端 的 振动 。 电 缆 的 断路 、 短 路 及 其 他 问题 会 导致 
信号 以 不 同 的 幅度 反射 回来 。TDR 通过 测试 信号 反射 回来 所 需要 的 时 间 ， 就 可 以 计算 出 
电缆 中 出 现 故 障 的 位 置 。TDR 还 可 以 用 于 测量 电缆 的 长 度 。 有 些 TDR 还 可 以 基于 给 定 
的 电缆 长 度 计 算出 信号 的 传播 速度 。 

对 于 光纤 的 测试 则 需要 使 用 光 时 域 反射 计 。OTDR 可 以 精确 地 测量 光纤 的 长 度 、 定 
位 光纤 的 断裂 处 、 测 量 光 纤 的 信号 衰减 、 测 量 接头 或 连接 器 造成 的 损耗 。OTDR 还 可 以 
用 于 记录 特定 安装 方式 的 参数 信息 (例如 , 信和 号 的 衰减 以 及 接头 造成 的 损耗 等 )。 以 后 当 
怀疑 网 络 出 现 故 障 时 ， 可 以 利用 OTDR 测量 这 些 参 数 并 与 原先 记录 的 信息 进行 比较 。 
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3) 断 接 盒 、 智 能 测试 盘 和 位 /数据 块 错误 测试 器 

断 接 盒 、 智 能 测试 盘 和 位 /数据 块 错误 测试 器 是 用 于 测量 PC、 打印机、 调制 解 调 器 、 
信道 服务 设备 /数字 服务 设备 ‘CSU/DSU) 以 及 其 他 外 围 接口 数字 信号 的 数字 接口 测试 
工具 。 这 类 设备 可 以 监测 数据 线路 的 状态 ， 俘 获 并 分 析 数 据 ， 诊 断 数据 通信 系统 中 常见 
的 故障 。 通 过 监测 从 数据 终端 设备 (DTE) 到 数据 通信 设备 (DCE) 的 数据 通信 ， 可 以 
发 现 潜在 的 问题 、 确 定位 组 合 模式 、 确 保 电缆 铺设 结构 的 正确 。 这 类 设备 无 法 测试 诸如 
以 太 网 、 令 牌 环 网 及 FDDI 之 类 的 媒体 信号 。 

4) 网 络 监测 器 

网 络 监测 器 能 够 持续 不 断 地 跟踪 数据 包 在 网 络 上 的 传输 ， 能 够 提供 任何 时 刻 网 络 活 
动 的 精确 描述 或 者 一 段 时 间 内 网 络 活动 的 历史 记录 。 网 络 监测 器 不 会 对 数据 帧 中 的 内 容 
进行 解码 。 网 络 监测 器 可 以 对 正常 运作 下 的 网 络 活动 进行 定期 采样 ， 以 此 作为 网 络 性 能 
的 基准 。 

网 络 监测 器 可 以 收集 诸如 数据 包 长 度 、 数 据 包 数 量 、 错 误 数据 包 的 数量 、 连 接 的 总 
体 利 用 率 、 主 机 与 MAC 地 址 的 数量 、 主 机 与 其 他 设备 之 间 的 通信 细节 之 类 的 信息 。 这 
些 信息 可 以 用 于 概括 局 域 网 的 通信 状况 ， 帮 助 用 户 确定 网 络 通信 超载 的 具体 位 置 、 规 划 
网 络 的 扩展 形式 、 及 时 地 发 现 入 侵 者 、 建 立 网 络 性 能 基准 、 更 加 有 效 地 分 散 通信 量 。 

5) 网 络 分 析 仪 

网 络 分 析 仪 Cnetwork analyzer) 有 时 也 称 为 协议 分 析 仪 (protocol analyzer)， 它 能 够 
对 不 同 协议 层 的 通信 数据 进行 解码 ， 以 便于 阅读 的 缩 略 语 或 概述 形式 表示 出 来 ， 详 细 表 
示 哪 个 层 被 调用 〈 物 理 层 、 数 据 链 路 层 等 )， 以 及 每 个 字 节 或 者 字 节 内 容 起 什么 作用 。 

大 多 数 的 网 络 分 析 仪 能 够 实现 如 下 功能 。 

(1) 按照 特定 的 标准 对 通信 数据 进行 过 滤 ， 例 如 ， 可 以 截获 发 送 给 特定 设备 及 特定 
设备 发 出 的 所 有 信息 。 

(2) 为 截获 的 数据 加 上 时 间 标 签 。 

(3) 以 便于 阅读 的 方式 展示 协议 层 数据 信息 。 

(4) 生成 数据 帧 ， 并 将 其 发 送 到 网 络 中 。 

(5) 与 某 些 系统 配合 使 用 ， 系 统 为 网 络 分 析 仪 提供 一 套 规则 ， 并 结合 网 络 的 配置 信 
息 及 具体 操作 ， 实 现 对 网 络 故障 的 诊断 与 排除 ， 或 者 为 网 络 故障 提供 潜在 的 排除 方案 。 


2.8.3 网络 故 障 分 层 诊断 


1. 物理 层 及 其 诊断 

物理 层 是 OSI 分 层 结构 体系 中 最 基础 的 一 层 ， 它 建立 在 通信 媒体 的 基础 上 ， 实 现 系 
统 和 通信 媒体 的 物理 接口 ， 为 数据 链 路 实体 之 间 进 行 透 明 传输 ， 为 建立 、 保 持 和 拆除 计 
算 机 和 网 络 之 间 的 物理 连接 提供 服务 。 

物理 层 的 故障 主要 表现 为 设备 的 物理 连接 方式 是 否 恰当 ; 连接 电缆 是否 正 确 。 确 定 
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路 由 器 端口 物理 连接 是 否 完好 的 最 佳 方法 是 使 用 show interface 命令 , 检查 每 个 端口 的 状 
态 ， 解 释 屏 幕 输出 信息 ， 查 看 端口 状态 、 协 议 建 立 状态 和 EIA 状态 。 

2. 数据 链 路 层 及 其 诊断 

数据 链 路 层 的 主要 任务 是 使 网 络 层 无 须 了 解 物理 层 的 特征 而 获得 可 靠 的 传输 。 数 据 
链 路 层 为 通过 链 路 层 的 数据 进行 打包 和 解 包 、 差 错 检测 和 一 定 的 校正 能 力 ， 并 协调 共享 
介质 。 在 数据 链 路 层 交 换 数据 之 前 ， 协 议 关 注 的 是 形成 帧 和 同步 设备 。 查 找 和 排除 数据 
链 路 层 的 故障 ， 需 要 查看 路 由 器 的 配置 ， 检 查 连 接 端口 的 共享 同一 数据 链 路 层 的 封装 情 
况 。 每 对 接口 要 和 与 其 通信 的 其 他 设备 有 相同 的 封装 。 通 过 查看 路 由 器 的 配置 检查 其 封 
装 ， 或 者 使 用 show 命令 查看 相应 接口 的 封装 情况 。 

3. 网 络 层 及 其 诊断 

网 络 层 提供 建立 、 保 持 和 释放 网 络 层 连接 的 手段 ， 包 括 路 由 选择 、 流 量 控 制 、 传 输 
确认 、 中 断 、 差 错 及 故障 恢复 等 。 排 除 网 络 层 故障 的 基本 方法 是 : 沿 着 从 源 到 目标 的 路 
径 , 查看 路 由 器 路 由 表 , 同时 检查 路 由 器 接口 的 了 P 地 址 。 如 果 路 由 没有 在 路 由 表 中 出 现 ， 
应 该 通过 检查 来 确定 是 否 已 经 输入 适当 的 静态 路 由 、 默 认 路 由 或 者 动态 路 由 。 然 后 手工 
配置 一 些 丢 失 的 路 由 ， 或 者 排除 一 些 动态 路 由 选择 过 程 的 故障 ， 包 括 RIP 或 者 IGRP 路 
由 协议 出 现 的 故障 。 例 如 ， 对 于 IGRP 路 由 选择 信息 只 在 同一 自治 系统 号 〈AS) 的 系统 
之 间 交 换 数据 ， 查 看 路 由 器 配置 的 自治 系统 号 的 匹配 情况 。 

4. 应 用 层 及 其 诊断 

应 用 层 提 供 最 终 用 户 服务 ， 如 文件 传输 、 电 子 信 息 、 电 子 邮 件 和 虚拟 终端 接 入 等 。 
排除 网 络 层 故 障 的 基本 方法 是 : 首先 可 在 服务 器 上 检查 配置 , 测试 服务 器 是 否 正 常 运行 ， 
如 果 服 务 器 没有 问题 再 检查 应 用 客户 端 是 否 正 确 配置 。 


2.8.4 网 络 故障 排除 案例 分 析 


1. 案例 一 ”光纤 线路 故障 

一 个 新 建 的 宿舍 楼 用 户 突然 无 法 访问 Intemet, 出 现 问题 的 宿舍 区 与 其 他 宿舍 区 都 是 
通过 光缆 连接 到 机 房 的 同一 设备 ,其 他 的 宿舍 区 都 可 以 正常 访问 Intemet, 说 明 机 房 的 网 
络 设备 运转 正常 ， 而 网 管 人 员 已 经 证 明 设置 也 没有 问题 ， 故 初步 判断 故障 是 由 物理 层 引 
起 的 。 

1) 初步 查找 故障 原因 

工程 师 携 带 测试 仪器 到 达 该 市 后 ， 进 一 步 对 现场 情况 进行 了 解 。 这 条 光缆 刚刚 铺设 
不 久 ， 而 且 施 工 单位 一 个 月 前 使 用 OTDR (Optical Time Division Reflectometer， 光 纤 测 
试 器 ) 对 它 进 行 了 测试 ， 并 提供 了 完整 的 报告 ， 所 以 运 维 部 门 并 没有 怀疑 这 次 故障 可 能 
是 由 链 路 引起 的 。 但 根据 长 期 从 事 测试 工作 所 累积 的 经 验 ， 工 程 师 坚 持 决 定 应 该 对 这 条 
光缆 重新 进行 测试 。 

由 于 事先 没有 携带 OTDR， 所 以 首先 使 用 光 损 耗 测试 仪 测试 这 条 光缆 的 损耗 是 否 在 
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人 允许 范围 之 内 ， 以 此 来 判断 链 路 是 否 存在 故障 。 当 工程 师 来 到 机 房 后 发 现 ， 配 线 架 上 面 
所 有 的 线 缆 都 没有 做 标识 ， 这 给 测试 带 来 了 很 大 的 不 便 。 为 了 避免 因为 盲目 地 断 开 连 接 
器 而 导致 业务 中 断 ， 带 来 恶劣 的 影响 ， 使 用 光纤 识别 器 找 出 了 连接 到 故障 宿舍 区 的 两 根 
光纤 。 这 种 光纤 识别 器 利用 光纤 的 微 弯 损耗 特性 ， 可 以 在 不 损害 连接 的 情况 下 找 出 正在 
使 用 的 或 特定 的 光纤 ， 彻 底 解决 了 某 些 维护 人 员 因 错误 地 切断 重要 的 光纤 连接 而 产生 严 
重 后 果 的 问题 。 

当 工 程 师 把 光源 和 光 功 率 计 分 别 接 在 机 房 和 宿舍 的 光纤 接头 上 进行 光 功 率 测 试 时 ， 
发 现 光 功率 计 的 读数 显示 为 UNDER， 这 表示 从 光纤 中 传输 过 来 的 光 信 号 功率 太 弱 ， 以 
至 于 光 功 率 计 接收 不 到 信号 。 可 以 确定 这 条 链 路 肯定 有 问题 。 下 面 的 工作 就 是 通过 进 一 
步 测试 来 确定 故障 的 具体 位 置 和 原因 。 

2) 锁定 故障 

会 不 会 是 由 于 连接 器 接头 受到 了 污 物 的 污染 而 造成 接收 端 光 功率 过 低 呢 ? 这 也 是 
光纤 链 路 存在 传输 故障 的 主要 原因 之 一 。 工 程 师 使 用 光纤 显微镜 对 所 布 的 光纤 以 及 两 端 
的 光纤 跳 线 的 端面 进行 了 检测 ， 未 发 现 端面 上 有 污 物 存在 ， 可 见 故 障 并 不 是 由 于 连接 端 
面 不 洁净 引起 的 。 再 使 用 可 视 故 障 定位 仪 分 别 从 链 路 两 端 进行 测试 ， 这 种 设备 可 以 发 出 
能 够 传输 5km 远 的 高 强度 可 视 激光 束 ， 用 来 查找 光纤 链 路 是 否 存在 断裂 、 过 度 弯曲 和 连 
接 故障 。 我 们 从 两 地 分 别 接 入 测试 仪 发 出 可 视 红 光 ， 在 对 端 相 互 观 察 均 没 有 发 现 有 红 光 
射出 ， 而 两 地 所 用 的 光纤 跳 线 上 也 没有 红 光 泄漏 的 现象 ， 说 明光 纤 连 接 跳 线 是 没有 问题 
的 。 那 么 到 此 已 经 可 以 肯定 故障 点 存在 于 光纤 链 路 上 。 

最 后 使 用 了 一 种 掌上 型 OTDR 对 光纤 链 路 进行 单 端 测 试 以 对 故障 进行 定位 。 这 种 最 
远 测 试 距离 为 20km 的 仪器 可 以 以 数字 的 形式 表示 出 光纤 链 路 每 个 事件 点 的 位 置 ， 由 于 
不 需要 去 看 复杂 的 OTDR 图 形 ， 所 以 使 用 起 来 非常 简单 方便 ， 是 局 域 网 、 城 域 网 中 传统 
OTDR 的 理想 替代 品 。 把 设备 接 入 光纤 链 路 中 ， 按 动 测试 按钮 ，2s 后 仪器 显示 数据 说 明 
距离 测试 端 520m 处 光纤 有 一 故障 点 。 测 试 另 一 条 光纤 时 显示 同样 信息 ， 几 乎 可 以 肯定 
在 那里 的 光纤 已 经 因为 某 种 原因 遭 到 损坏 ， 就 是 它 造成 宿舍 区 用 户 无 法 上 网 。 

至 此 ， 引 起 网 络 故障 的 原因 已 经 找到 ， 下 一 步 需 进 行 光缆 修复 或 更 换 光 缆 。 同 时 针 
对 网 络 管理 上 的 欠缺 需 使 用 网 络 标识 打印 机 和 专用 标签 ， 按 照 TIA/EIA-606 标准 对 其 网 
络 设备 和 布线 系统 进行 重新 规划 管理 ， 建 立 相应 的 备案 文档 。 其 后 在 更 换 了 一 条 光缆 后 
宿舍 区 用 户 已 可 以 正常 访问 Intemet， 至 此 这 次 所 遇 到 的 问题 已 经 圆满 解决 。 

3) 故障 结论 

对 于 如 今 的 光纤 网 络 来 说 ， 再 按照 TIA/EIA-568B 标准 的 规定 只 进行 损耗 的 测试 已 
经 远 远 不 能 满足 目前 的 需求 了 。 只 有 在 实际 测试 当中 综合 、 合 理 地 运用 多 种 测试 仪器 ， 
才能 够 得 到 链 路 全 面 的 结果 。 对 于 已 经 测试 过 的 光纤 链 路 ， 也 不 能 够 保证 它 永 远 合格 ， 
所 以 建议 对 于 光纤 链 路 每 半年 进行 一 次 性 能 检测 。 不 要 忽视 网 络 标识 管理 在 实际 工作 中 
的 作用 。 
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2. 案例 二 布线 不 符合 标准 

某 政府 部 门 内 部 办 公 网 有 一 台 服 务 器 和 30 余 台 PC, 该 网 络 拓扑 结构 为 基于 Hub 的 
星 型 结构 ， 共 有 8 台 Hub (7 台 10M，1 台 10/100M)， 其 中 一 台 10M Hub 为 中 心 Hub， 
其 余 分 别 级 联 于 此 Hub 上 。 用 户 反 映 目前 网 络 速度 很 慢 ， 复 制 较 大 文件 时 经 常会 宕 机 ， 
数据 库 访问 速度 慢 。 

1) 测试 准备 

为 完成 对 用 户 网 络 的 测试 ， 准 备 了 美国 Fluke 683 企业 级 网 络 测试 仪 和 Fluke DSP- 
2000 电缆 测试 仪 。 

2) 测试 过 程 及 分 析 

为 了 了 解 用 户 网 络 的 流量 特征 ， 首 先 将 Fluke 683 企业 级 网 络 测试 仪 接 入 网 络 ， 进 
行 网 络 运行 的 实时 监测 ， 进 行 系统 的 流量 分 析 。 当 仪器 一 接 入 网 络 ， 就 发 现 了 网 络 
流量 存在 异常 状态 ， 网 络 的 带宽 平均 利用 率 (utilization) 峰值 达到 了 60%， 但 其 中 碰撞 
(collision) 平均 占据 了 25.9%， 经 过 一 段 时 间 的 连续 测试 ， 发 现 即 使 在 没有 过 多 流量 的 
情况 下 ， 仅 仅 是 广播 都 会 带 来 50% 的 碰撞 ， 平 均 利用 率 仅 为 5.04%， 而 平均 冲突 率 却 达 
到 了 34.6%。 可 见 ， 网 络 的 有 效 利用 率 很 低 ， 磁 撞 消耗 了 很 大 的 带宽 资源 。 测 试 中 并 未 
发 现 帧 级 的 错误 。 

为 了 能 够 对 流量 进行 综合 的 了 解 ， 进 行 了 半 小 时 流量 采样 。 带 宽 利 用 率 分 析 图 反映 
出 用 户 网 络 流量 随机 性 很 大 , 在 测试 时 间 内 最 大 利用 率 达 到 61.7% ,平均 利用 率 为 10.2%。 
从 碰撞 分 析 图 可 以 看 出 ， 碰 撞 的 比例 同 网 络 利用 率 是 成 正比 的 ， 流 量 增加 时 ， 碰 撞 也 随 
之 增多 ， 用 户 网 络 几乎 每 一 时 刻 都 伴随 着 大 量 的 碰撞 发 生 。 流 量 综合 分 析 图 反映 出 整个 
测试 过 程 中 没有 出 现任 何 错误 帧 ， 广 播 流量 非 常 少 ， 并 不 存在 广播 风暴 。 可 以 看 出 ， 整 
个 网 络 流量 中 有 1/3 的 帧 发 生 了 碰撞 。 碰撞 的 比例 大 大 超过 以 太 网 平均 碰撞 率 小 于 5% 的 
建议 ， 因 而 会 降低 网 络 的 传输 效率 。 

究竟 是 什么 原因 导致 如 此 高 的 碰撞 率 呢 ? 为 了 进一步 确认 问题 根源 ， 利 用 电缆 测试 
仪 对 用 户 的 部 分 电缆 进行 了 认证 测试 。 测 试 时 选择 了 TIA 五 类 通道 (channel) 链 路 模型 
标准 〈 包 含水 平 电缆 及 用 户 跳 线 )， 结 果 所 有 被 检测 链 路 均 不 合格 ， 串 扰 (NEXT) 远 远 
超过 标准 。 通 过 观察 发 现 ， 几 乎 所 有 的 电缆 都 未 按照 国际 标准 接线 图 进行 打 结 ， 用 户 不 
正确 的 打 结 方式 破坏 了 正常 的 双 绞 线 对 ， 导 致 了 电缆 内 不 同 线 对 在 传输 信号 时 相互 干扰 
( 近 端 串扰 〉 非常 严重 ， 这 种 干扰 严重 影响 着 数据 的 正常 传输 ， 轻 则 网 络 运行 速度 很 慢 ， 
严重 的 会 导致 网 络 的 瘫痪 。 

为 了 进一步 确定 电缆 故障 的 范围 ， 我 们 又 分 别 对 用 户 自 己 打 结 的 电缆 和 建筑 物 内 的 
综合 布线 进行 了 抽 测 , 结果 : 用 户 电缆 全 部 不 合格 ， 部 分 综合 布线 电缆 不 符合 TIA 标准 ， 
但 其 保证 了 传输 和 接收 线 对 的 双 绞 。 至 此 ， 我 们 判断 用 户 所 反映 的 网 络 故障 与 其 不 规范 
的 布线 系统 直接 相关 。 

3) 测试 结论 
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通过 上 面 对 用 户 网 络 传输 介质 的 测试 以 及 网 络 运行 时 流量 的 综合 分 析 ， 我 们 认为 用 
户 现 有 的 网 络 性 能 缓慢 是 由 大 量 的 碰撞 造成 的 ,过 多 的 碰撞 占用 了 大 量 的 有 效 传输 时 间 ， 
消耗 了 过 多 的 带宽 资源 。 而 电缆 的 错误 打 结 正 是 造成 这 一 故障 的 根本 原因 。 测 试 过 程 中 
未 发 现任 何 帧 级 错误 以 及 服务 器 对 请 求 的 及 时 响应 进一步 排除 了 由 于 网 络 设备 而 引起 的 
故障 ， 因 此 建议 用 户 对 现 有 所 有 电费 重新 按照 标准 打 结 (TIA 568B 接线 图 白 / 检 、 构 、 
白 / 绿 、 蓝 、 白 / 蓝 、 绿 、 白 / 棕 、 棕 )。 对 布线 系统 的 整改 后 ， 网 络 速度 明显 提高 ， 故 障 现 
象 消失 。 

3. 案例 三 ”网 络 中 形成 环 路 

菜单 位 局 域 网 使 用 星 型 拓扑 结构 的 千 兆 以 太 网 技术 ， 网 络 主干 采用 1000Mbps 速率 
传输 ， 中 心机 房 配置 一 台 华为 6506 三 层 路 由 交换 机 ， 各 楼 层 使 用 华为 3026 或 背 板 堆 共 
的 2026 接 入 核心 交换 机 ,各 单位 计算 机 通过 直接 接 入 或 以 级 联 方式 通过 接 入 层 交 换 机 接 
入 网 络 。 中 心 有 多 台 服 务 器 ， 提 供 文件 服务 、FTP 和 Web 等 各 项 服务 。 全 网 分 为 5 个 
VLAN, 根据 不 同 的 业务 定义 了 不 同 网 段 的 人 P 地 址 。 随 着 信息 访问 需求 的 增加 ， 接 入 网 
络 的 用 户 不 断 增 多 ， 在 网 络 维护 和 建设 中 遇 到 过 各 种 问题 以 及 故障 ， 现 分 析 其 中 一 个 影 
响 较 大 的 故障 ， 谈 谈 在 网 络 管理 和 维护 方面 的 一 些 经 验 和 体会 。 

某 日 有 多 个 用 户 反 映 网 络 连 接 情况 时 通 时 断 ， 有 时 同一 楼 层 的 计算 机 都 无 法 互相 
ping 通 ， 故 障 用 户 分 布 在 多 个 楼 层 ， 故 障 点 不 集中 。 对 个 别 端口 做 互 换 测试 ， 故 障 仍然 
存在 。 在 故障 计算 机 上 进行 测试 ， 发 现 可 以 ping 通 网 络 中 的 部 分 服务 器 或 计算 机 ，ping 
核心 交换 机 的 他 地 址 常 出 现 不 通 、 丢 包 、 时 延 大 的 现象 。 利 用 华为 的 网 络 软件 对 可 管理 
的 交换 机 做 检查 ， 没 有 明显 的 报错 。 

1) 故障 排查 

首先 怀疑 为 核心 交换 机 物理 故障 。 观 察 交 换 机 的 指示 灯 状 态 以 及 各 端口 的 状态 ， 显 
示 正 常 。 对 核心 交换 机 清除 缓存 、 关 闭 重启 ， 并 检查 交换 机 的 配置 情况 ， 没 有 改变 。 

经 过 以 上 的 检查 和 测试 ， 分 析 故 障 应 该 不 在 硬件 部 分 ， 利 用 Sniffer 抓 包 分 析 软 件 将 
网 络 中 的 数据 包 抓 下 来 分 析 ， 发 现 有 大 量 数 据 包 来 自 一 个 MAC 地 址 ， 目 的 地 址 是 根本 
不 存在 的 卫 ， 怀 疑 是 类 似 于 “冲击 波 杀 手 ”一 类 会 造成 网 络 堵塞 的 病毒 。 根 据 网 络 正常 
时 建立 的 人 P 地 址 及 MAC 地 址 对 应 表 查 出 该 机 属于 某 层 的 一 个 直属 单位 ,初步 确认 故障 
点 后 将 MAC 地 址 对 应 的 计算 机 从 网 络 中 断 开 并 升级 杀毒 软件 ， 然 后 重新 接 入 网 络 ， 此 
时 故障 仍然 存在 。 

为 了 确定 具体 故障 点 ， 要 求 该 单位 提供 其 接 入 拓扑 图 分 析 ， 发 现 该 单位 将 分 属于 两 
个 不 同 VLAN 的 连 线 分 别 连接 两 个 不 同 的 Hub, 当天 为 了 使 用 方便 , 将 两 个 Hub 用 级 联 
的 方式 连接 到 了 一 起 ， 将 其 连 线 断 开 后 ， 故 障 彻底 排除 。 

2) 故障 原因 

此 次 故障 原因 主要 是 由 于 网 络 中 有 环 路 存在 ， 造 成 每 一 帧 都 在 网 络 中 重复 广播 ， 引 
起 了 广播 风暴 。 要 消除 这 种 网 络 循环 连接 带 来 的 网 络 广播 风暴 可 以 使 用 STP 协议 (生成 
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树 协议 )， 以 网 络 中 一 台 交 换 机 为 节点 生成 一 棵 转发 树 ,而 树 是 没有 环 路 的 ， 这样 所 有 的 
数据 都 只 在 这 棵 树 所 指示 的 路 径 上 传输 ， 就 不 会 产生 广播 风暴 ,但 由 于 STP 算法 的 开销 
非常 大 ， 所 以 交换 机 上 都 未 启用 该 协议 。 

为 避免 在 接 入 层 出 现 同样 的 故障 ， 从 而 影响 整个 局 域 网 络 用 户 的 使 用 ， 所 以 在 接 入 
层 启 用 树 生 成 协议 是 必要 的 ， 或 者 在 诊断 故障 时 可 以 打开 SPT 协议 协助 确定 故障 点 。 

3) 故障 结论 

在 故障 发 生 时 ， 应 首先 了 解 故障 前 网 络 的 改动 ， 建 立 完善 的 网 络 文档 资料 。 包 括 
网 络 布线 图 、IP 及 MAC 对 应 表 等 ， 否 则 在 确定 MAC 地 址 端口 时 会 消耗 大 量 的 时 间 。 
现在 有 很 多 局 域 网 工具 软件 都 可 以 通过 扫描 获取 网 络 中 计算 机 的 这 些 信息 ， 如 
LanExplorer 等 。 

4. 案例 四 “病毒 引起 路 由 器 过 载 

故障 发 生地 的 拓扑 结构 : 使 用 一 台 EnterasysSSR8000 作为 边界 路 由 器 ， 同 时 也 用 它 
把 校园 内 部 划分 为 8 个 虚 网 ， 每 个 虚 网 各 有 一 个 堆 又 的 二 层 交 换 机 作为 台式 计算 机 和 笔 
记 本 计算 机 的 接 入 设备 ， 主 干 为 千 兆 位 ， 百 兆 位 到 桌面 。 

某 日 接 到 一 个 用 户 的 求助 电话 ， 说 他 的 机 器 不 能 上 网 了 。 这 个 用 户 的 主机 所 在 的 虚 
网 和 网 络 中 心 不 在 同 一 个 虚 网 中 。 用户 介绍 说 $ 分 钟 前 还 是 好 的 (能 够 上 网 ), 现在 不 知 
道 为 什么 就 不 能 上 网 了 。 而 且 他 的 机 器 〈 安 装 的 系统 为 Windows XP) 最 近 没有 安装 什么 
新 的 程序 ， 没 有 移动 过 计算 机 ， 也 没有 拔 过 网 线 。 

1) 故障 排查 

首先 ， 排 查 网 络 客户 端的 错误 配置 。 进 入 MSDOS 方式 使 用 IPCONFIG 命令 检查 主 
机 的 瑟 地 址 配置 ， 从 主机 向 网 关 发 送 的 数据 包 ， 全 部 都 得 到 了 回应 ， 线 路 是 连通 的 。 打 
开 浏览 器 ， 也 能 够 正常 上 网 ， 一 点 儿 都 没 问题 。 现 在 的 网 络 是 正常 的 。 正 在 怀疑 的 时 候 ， 
发 现 网 络 又 不 通 了 。 发 现 ping 出 的 数据 包 未 能 到 达 网 关 。 把 台式 计算 机 上 的 网 线 插 到 笔 
记 本 计算 机 上 ， 配 置 好 IP 地址 后 ping 网 关 ， 也 出 现时 断 时 续 的 情况 。 断 开 的 现象 大 概 
持续 了 50s， 然 后 又 恢复 正常 。 这 基本 可 以 排除 是 主机 存在 问题 了 ， 因 为 两 台 不 相干 主 
机 同时 出 现 此 类 问题 的 几率 几乎 为 0。 鉴 于 此 现象 ， 首 先 排除 了 连接 线 缆 的 故障 ， 因 为 
连接 的 线 缆 不 可 能 出 现 这 种 时 断 时 续 的 情况 ， 故 障 最 有 可 能 出 在 线 缆 的 另 一 端 一 一 二 层 
交换 机 上 。 于 是 来 到 这 栋 楼 的 设备 间 ， 查 看 交换 机 的 状态 ， 这 是 一 个 由 两 台 交 换 机 进行 
的 堆 琶 ， 其 中 一 台 交 换 机 上 有 一 个 上 连 的 千 兆 端口 。 把 笔记 本 计算 机 接 到 交换 机 的 其 中 
一 个 端口 上 ， 再 ping 网 关 。 还 是 同样 的 故障 ， 而 且 还 发 现 每 过 4 一 10 分 钟 ， 网 络 就 会 断 
一 次 ， 并 且 40 一 50s 后 又 恢复 正常 。 经 过 观察 发 现 : 没有 发 现 端口 指示 灯 的 异常 情况 ， 
说 明 交换 机 的 各 个 端口 均 正 常 。 把 交换 机 重启 一 下 。 重 启 后 ， 故 障 依旧 。 最 后 判断 有 可 
能 是 连接 虚 网 的 路 由 器 出 了 问题 。 

问题 集中 到 路 由 器 上 了 ， 从 路 由 器 的 外 部 指示 灯 上 看 ， 没 什么 异常 现象 。 在 网 管 机 
上 ping 路 由 器 的 地 址 (网 管 机 是 直接 连 在 路 由 器 的 百 兆 模块 上 的 )， 也 是 时 通 时 断 。 又 
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继续 观察 了 一 段 时 间 ， 发 现 每 过 4 一 10 分 钟 ， 路 由 器 所 有 模块 的 指示 灯 都 会 同时 熄灭 ， 
接着 控制 模块 上 的 HBT 灯 闪 烁 , 然后 OK 灯亮 起 , 最 后 所 有 模块 的 指示 灯 均 显示 Online。 
HBT 灯 闪 烁 表示 路 由 器 正在 启动 ， 也 就 是 说 正在 自动 重启 ， 而 且 40s 左右 的 网 络 断 开 时 
间 正 好 是 路 由 器 的 重启 所 需 的 时 间 。 现 在 问题 的 查找 工作 已 经 结束 ， 肯 定 是 路 由 器 出 了 
故障 。 

在 路 由 器 正常 工作 的 时 候 , 把 笔记 本 计算 机 的 COM 口 使 用 路 由 器 的 专用 CONSOLE 
线 连接 起 来 ， 建 立 超级 终端 。 在 管理 模式 下 使 用 命令 show bootlog 查看 系统 的 启动 记录 ， 
发 现 各 个 模块 的 加 载 均 属 正 常 。 造 成 路 由 器 重启 的 原因 , 最 大 的 可 能 就 是 CPU 的 利用 率 
达到 100% 。 使 用 show cpu-utilization 命令 查看 CPU 的 使 用 率 。 

CPU Utilization (5 seconds): 50% (60 seconds): 60%〔 前 者 是 指 5s 内 CPU 平均 使 
用 率 为 50%， 后 者 是 60s 内 CPU 平均 使 用 率 为 60%) 

连续 使 用 此 命令 后 ， 得 知 CPU 利用 率 正 在 逐渐 上 升 ， 当 达到 95% 的 时 候 路 由 器 便 
自动 重启 。 看 来 路 由 器 的 负载 太 大 了 ， 因 为 平时 正常 情况 下 ，CPU 的 使 用 率 仅 为 1% 一 
6% 。 当 网 络 使 用 高 峰 期 的 时 候 CPU 的 利用 率 会 稍微 高 一 点 。 但 到 底 是 什么 让 路 由 器 过 
载 呢 ?幸好 以 前 曾经 给 路 由 器 设置 过 日 志 记 录 ， 并 把 日 志 发 送 到 一 个 日 志 服 务 器 上 。 但 
是 打开 这 台 服 务 器 所 记录 的 日 志 并 未 能 找到 有 用 的 线索 。 因 为 当 路 由 器 负载 过 大 时 ， 它 
已 经 不 能 往日 志 服务 器 上 发 送 日 志 了 ， 只 能 用 system show syslog buffer 命令 来 查看 当前 
系统 缓存 中 的 日 志 记录 : 


2003-09-10 09:28:32 %ACL LOG-I-DENY, 

ACL [out] on "uplink" ICMP 210.16.3.82 -> 210.55.37.72 
2003-09-10 09:28:32 %ACL LOG-I-PERMIT, 

ACT: [out] on ”aplinkn ICMP 210,.16.3:82 => 61.136.65.13 
2003-09-10 09:28:32 %ACL LOG-I-DENY, 

ACL [out] on “uplink" ICMP 210.16.3.82 -> 202.227.100.65 
2003-09-10 09:28:32 %ACL LOG-I-DENY, 

ACL [out] on “uplink" ICMP 210.16.3.82 -> 193.210.224.202 
2003-09-10 09:28:32 $%ACL LOG-I-DENY, 

ACL [out] on "uplink" ICMP 210.16.3.82 -> 218.32.21.101 


2) 故障 原因 

很 明显 ，210.16.3.82 这 台 在 使 用 ICMP 协议 向 其 他 主机 发 起 攻击 。 据 此 判断 ， 这 台 
主机 很 可 能 中 毒 。 鉴 于 情况 分 析 ， 可 能 是 网 络 中 存在 中 了 “冲击 波 杀 手 ” 病 毒 的 主机 。 
该 病毒 使 用 类 型 为 echo 的 ICMP 报 文 来 ping 根据 自身 算法 得 出 的 全 地 址 段 ， 以 此 检测 
这 些 地 址 段 中 存活 的 主机 ， 并 发 送 大 量 载 荷 为 aa， 填 充 长 度 为 92 字 节 的 icmp 报 文 ， 从 
而 导致 网 络 堵塞 。 而 且 病 毒 一 旦 发 现存 活 的 主机 ， 便 试图 使 用 135 端口 的 rpc 漏洞 和 80 
端口 的 webdav 漏洞 进行 溢出 攻击 。 溢出 成 功 后 会 监听 69 (TFTP 专业 端口 ,用 于 文件 下 
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载 ) 端口 和 666 一 765〈 通 常 是 707 端口 ) 范围 中 的 一 个 随机 端口 等 待 目标 主机 回 连 。 

3) 故障 处 理 

根据 该 病毒 的 传播 机 理 ， 立 刻 在 路 由 器 上 设置 访问 控制 列表 (ACL)， 以 阻塞 UDP 
协议 的 69 端口 (用 于 文件 下 载 )、TCP 的 端口 135〈 微 软 的 DCOM RPC 端口 ) 和 ICMP 
协议 (用 于 发 现 活动 主机 )。 最 后 再 把 这 个 ACL 应 用 到 上 连接 口 (uplink) 上 。 这 样 就 可 
以 把 “冲击 波 杀手 ”从 网 络 的 出 口 处 堵截 住 。 为 了 防止 已 经 感染 “冲击 波 杀 手 ” 的 主机 
在 校内 各 个 虚 网 之 间 传 播 ， 还 要 把 这 个 ACL 应 用 到 校内 各 虚 网 的 接口 上 。 这 时 使 用 并 
查看 CPU 的 使 用 率 ， 恢 复 到 了 正常 状态 ， 等 待 一 段 时 间 后 ， 没 有 出 现 重 启 现象 。 至 此 ， 
路 由 器 故障 全 部 解决 。 

4) 故障 结论 

由 于 路 由 器 不 能 自动 丢弃 这 种 病毒 发 出 的 攻击 数据 包 ， 而 导致 了 路 由 器 重启 ， 应 配 
置 一 定 的 安全 措施 来 避免 这 类 问题 的 发 生 。 为 了 彻底 解决 问题 , 还 应 升级 路 由 器 的 IOS 。 
与 设备 供应 商 取 得 联系 并 获得 最 新 的 IOS 映像 文件 。 
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本 章 介绍 了 网 络 上 的 服务 器 、 存 储 系统 和 利用 网 络 的 传真 、 打印 以 及 视频 会 议 系统 。 
3.1 网 络 服务 器 


按 服务 器 的 处 理 器 架构 ( 即 服务 器 CPU 所 采用 的 指令 系统 ) 可 把 服务 器 划分 为 RISC 
架构 服务 器 和 IA 架构 服务 器 。 后 者 包括 CISC 架构 服务 器 和 VLIW 架构 服务 器 两 种 。 


3.1.1 RISC 架构 服务 器 


RISC (Reduced Instruction Set Computing， 精 简 指令 集 ) 的 指令 系统 相对 简单 ， 只 
要 求 硬件 执行 很 有 限 且 最 常用 的 那 部 分 指令 ,大 部 分 复杂 的 操作 则 使 用 成 熟 的 编译 技术 ， 
由 简单 指令 合成 。 目 前 在 中 高 档 服务 器 特别 是 高 档 服务 器 中 普遍 采用 RISC 指令 系统 的 
CPU。RISC 架构 服务 器 采用 的 是 封闭 的 发 展 策略 ， 即 由 单个 厂商 提供 垂直 的 解决 方案 ， 
从 服务 器 的 系统 硬件 到 系统 软件 都 由 这 个 厂商 完成 -RISC 处 理 器 发 展 至 今 , 主要 的 RISC 
处 理 器 芯片 生产 商 有 Sun 公司 、Fujitsu 公司 的 SPARC 系列 处 理 器 ，IBM 公司 的 Power 
系列 处 理 器 ，HP 公司 的 PA-RISC，HP 公司 〈Compaq 被 收购 之 前 ) 的 Alpha 处 理 器 及 
MIPS 公司 的 MIPS 等 。 

RISC 架构 的 服务 器 除 处 理 器 各 不 相同 外 ，LIO 总 线 也 不 相同 。Fujitsu 是 PCI，Sun 
是 SBUS 等 ,这 就 意味 着 不 同 厂商 RISC 机 器 上 的 插 卡 ， 如 网 卡 、 显 示 卡 和 SCSI 卡 等 可 
能 也 是 专用 的 。 操 作 系 统一 般 是 基于 UNIX 的 ， 像 Sun、Fujitsu 是 用 Sun Solaris，HP 是 
用 HP-UNIX，IBM 是 AIX 等 ， 所 以 RISC 架构 的 服务 器 是 相对 封闭 专用 的 计算 机 系统 。 
使 用 该 架构 的 用 户 一 般 是 看 中 UNIX 操作 系统 的 安全 性 、 可 靠 性 和 专用 服务 器 的 高 速 运 
算 能 力 。 

随 着 Internet 的 飞速 发 展 ,基于 RISC 处 理 器 的 UNIX 服务 器 市 场 经 历 过 快速 的 增长 。 
但 近 几 年 ，UNIX 市 场 在 慢 慢 地 萎缩 ， 部 分 市 场 慢 慢 被 AMD Opteron 处 理 器 、 英 特 尔 至 
强 、 安 腾 所 取代 。 但 到 目前 ，RISC 处 理 器 仍然 占据 相当 可 观 的 市 场 份额 ，IBM、Sun 和 
HP 三 大 厂商 在 近 几 年 UNIX 领域 的 白热化 竞争 ， 说 明 这 块 仍然 得 到 了 服务 器 巨头 的 
重视 。 

3.1.2 IA 架构 服务 器 


IA 架构 的 服务 器 采用 了 开放 体系 结构 ， 有 大 量 的 硬件 和 软件 的 支持 者 。 在 这 个 阵营 
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中 ， 主 要 的 技术 领头 者 是 最 大 的 CPU 制造 商 INTEL， 国 外 著名 的 IA 服务 器 制造 商 有 
IBM、HP 和 Dell 等 ， 国 内 主要 的 IA 架构 服务 器 的 制造 商 有 联想 、 浪 潮 和 曙光 等 。 

1. CISC 架构 

从 计算 机 诞生 以 来 ， 人 们 一 直 沿用 CISC (Complex instruction Set Computing， 复 杂 
指令 系统 计算 ) 指令 集 方式 。 早 期 的 桌面 软件 是 按 CISC 设计 的 ， 并 一 直 延 续 到 现在 ， 
所 以 ， 微 处 理 器 (CPU) 厂商 一 直 在 走 CISC 的 发 展 道路 ， 包 括 Intel、AMD， 还 有 其 他 
一 些 现在 已 经 更 名 的 厂商 ， 如 TI (德州 仪器 )、Cyrix 以 及 VIA (威盛 ) 等 。 在 CISC 微 
处 理 器 中 ， 程 序 的 各 条 指令 是 按 顺 序 串 行 执行 的 ， 每 条 指令 中 的 各 个 操作 也 是 按 顺序 串 
行 执行 的 。 顺 序 执行 的 优点 是 控制 简单 ， 但 计算 机 各 部 分 的 利用 率 不 高 ， 执 行 速度 慢 。 

CISC 架构 的 服务 器 主要 以 IA-32 架构 (Intel Architecture， 英 特 尔 架构 ) 为 主 ， 而 且 
多 数 被 中 低档 服务 器 所 采用 。 如 果 企 业 的 应 用 都 是 基于 NT 平台 的 应 用 ， 那 么 服务 器 的 
选择 基本 上 就 定位 于 IA 架构 (CISC 架构 ) 的 服务 器 。 如果 企业 的 应 用 主要 是 基于 Linux 
操作 系统 ， 那 么 服务 器 的 选择 也 是 基于 IA 结构 的 服务 器 。 

2. VLIW 架构 

VLIW (Very Long Instruction Word， 超 长 指令 集 架构 ) 架构 采用 了 先进 的 EPIC 
(Explicitly Parallel Instruction Computing， 清 晰 并 行 指令 ) 设计 ， 业 界 也 把 这 种 构架 叫做 
“IA-64 架构 ”。 每 时 钟 周期 例如 IA-64 可 运行 20 条 指令 ， 而 CISC 通常 只 能 运行 1 一 3 条 
指令 ，RISC 能 运行 4 条 指令 ， 可 见 ，VLIW 要 比 CISC 和 RISC 强大 得 多 。VLIW 的 最 
大 优点 是 简化 了 处 理 器 的 结构 ， 删 除了 处 理 器 内 部 许多 复杂 的 控制 电路 ， 这 些 电 路 通常 
是 超标 量 芯 片 (CISC 和 RISC) 协调 并 行 工 作 时 必须 使 用 的 ，VLIW 的 结构 简单 ， 能 够 
使 其 芯片 制造 成 本 降低 ， 价 格 低廉 ， 能 耗 少 ， 而 且 性 能 也 要 比 超标 量 芯片 高 得 多 。 目 前 ， 
基于 这 种 指令 架构 的 微 处 理 器 主要 有 Intel 的 IA-64 和 AMD 的 x86-64 两 种 。 

2002 年 7 月 8 日， 英特尔 公司 推出 其 EPIC 处 理 器 微 体系 机 构 的 第 二 代 处 理 器 ， 即 
英特尔 安 腾 2 处 理 器 。 英 特 尔 安 腾 2 处 理 器 拥有 许多 新 特性 ， 可 显著 提升 性 能 速度 ， 与 
大 量 RISC 厂商 面向 服务 器 提供 的 最 先进 的 处 理 器 展开 市 场 争 夺 战 。 

目前 ， 安 腾 解 决 方案 联盟 (ISA) 的 所 有 服务 器 制造 商会 员 ， 其 中 包括 布尔 、 富 士 
通 、 惠 普 、 富 士 通 西门 子 计 算 机 、 英 特 尔 、 日 立 、NEC 和 SGI， 都 将 相应 推出 基于 双核 
英特尔 安 腾 9100 系列 处 理 器 的 产品 。RISC 结构 的 产品 目前 受到 安 腾 的 冲击 是 毋庸 置疑 
的 。 一 个 典型 例子 是 : HP 9000 的 核心 处 理 器 采用 的 是 HP 自主 研发 的 RISC 结构 的 
PA-8900 处 理 器 ， 主 要 针对 HP-UX 操作 系统 。 不 可 否认 ，PA-8900 处 理 器 是 一 款 设计 非 
常 成 功 的 RISC 处 理 器 ， 但 由 于 UNIX 市 场 不 断 缩 小 ， 惠 普 已 开始 决定 放弃 对 该 处 理 器 
继续 开发 ， 以 后 将 使 用 安 腾 处 理 器 来 代替 PA-8900 处 理 器 。 


3.1.3 ”性 能 要 求 及 配置 要 点 


1. 性 能 要 求 
网 络 服务 器 是 整个 网 络 的 核心 ， 如 何 选择 与 本 网 规模 相 适 应 的 服务 器 ， 是 有 关 决 策 
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者 和 技术 人 员 都 要 考虑 的 问题 。 下 面 是 选择 网 络 服务 器 应 当 注意 的 事项 。 

(1) 性 能 要 稳定 。 为 了 保证 网 络 能 正常 运转 ， 选 择 的 服务 器 首先 要 确保 稳定 ， 因 为 
一 个 性 能 不 稳定 的 服务 器 ， 即 使 配置 再 高 、 技 术 再 先进 ， 也 不 能 保证 网 络 正常 运转 ， 严 
重 的 可 能 给 使 用 者 造成 难以 估计 的 损失 。 另 外 一 方面 ， 性 能 稳定 的 服务 器 还 意味 着 为 单 
位 节省 维护 费用 。 

(2) 以 够 用 为 准则 。 由 于 本 身 的 信息 资源 以 及 资金 实力 有 限 ， 不 可 能 一 次 性 投资 太 
多 的 经 费 去 采购 档次 很 高 、 技 术 很 先进 的 服务 器 。 对 于 建设 单位 而 言 ， 最 重要 的 是 根据 
实际 情况 ， 并 参考 以 后 的 发 展 规划 ， 有 针对 性 地 选择 满足 目前 信息 化 建设 的 需要 又 不 投 
入 太 多 资源 的 解决 方法 。 

(3) 应 考虑 扩展 性 。 由 于 网 络 处 于 不 断 发 展 之 中 ， 快 速 增长 的 应 用 不 断 对 服务 器 的 
性 能 提出 新 的 要 求 ， 为 了 减少 更 新 服务 器 带 来 的 额外 开销 和 对 工作 的 影响 ， 服 务 器 应 当 
具有 较 高 的 可 扩展 性 ， 可 以 及 时 调整 配置 来 适应 发 展 。 

(4) 要 便于 操作 管理 。 如 果 服 务 器 产品 具有 良好 的 易 操作 性 和 可 管理 性 ， 当 出 现 故 
障 时 无 须 厂 商 支持 也 能 排除 。 便 于 操作 和 管理 ， 主 要 是 指 用 相应 的 技术 来 提高 系统 的 可 
靠 性 能 ， 简 化 管理 因素 ， 降 低 维护 费用 成 本 。 

(5) 满足 特殊 要 求 。 不 同 网 络 应 用 侧重 点 不 同 ， 对 服务 器 性 能 的 要 求 也 不 一 样 。 例 
如 ，VOD 服务 器 要 求 具 有 较 高 的 存储 容量 和 数据 吞吐 率 ， 而 Web 服务 器 和 E-mail 服务 
器 则 要 求 24 小 时 不 间断 运行 。 如 果 网 络 服务 器 中 存放 的 信息 有 敏感 资料 , 就 要 求 选择 的 
服务 器 有 较 高 的 安全 性 。 

(6) 配件 搭配 合理 。 为 了 能 使 服务 器 更 高 效 地 运转 ， 要 确保 购买 的 服务 器 的 内 部 配 
件 的 性 能 必须 合理 搭配 。 例 如 ， 购 买 了 高 性 能 的 服务 器 ， 但 是 服务 器 内 部 的 某 些 配件 使 
用 了 低 价 的 兼容 组 件 ， 就 会 出 现 有 的 配件 处 于 瓶颈 状态 ， 有 的 配件 处 于 闲置 状态 ， 最 后 
的 结果 是 整个 服务 器 系统 的 性 能 下 降 。 一 台 高 性 能 的 服务 器 不 是 一 件 或 几 件 设 备 的 性 能 
优异 ， 而 是 所 有 部 件 的 合理 搭配 。 要 尽量 避免 小 马 拉 大 车 ， 或 者 是 大 马 拉 小 车 的 情况 。 
低速 、 小 容量 的 硬盘 ， 小 容量 的 内 存 ， 任 何 一 个 产生 系统 瓶颈 的 配件 都 有 可 能 制约 系统 
的 整体 性 。 

(7) 理性 看 待 价格 。 无 论 购买 什么 产品 ， 用 户 都 会 很 看 重 产品 的 价格 。 当 然 ， 一 分 
价钱 一 分 货 ， 高 档 服务 器 的 价格 比 低档 服务 器 的 价格 高 是 无 可 非议 的 事情 。 但 对 于 一 些 
应 用 来 说 ， 不 一 定 非 得 购买 那些 价格 昂贵 的 服务 器 ， 尽 管 高 端 服务 器 功能 很 多 ， 但 是 这 
些 功能 对 普通 应 用 来 说 使 用 率 不 高 。 性 能 稳定 、 价 格 适中 的 服务 器 应 该 是 建设 单位 建设 
网 络 的 理性 选择 。 

(8) 售后 服务 要 好 。 由 于 服务 器 的 使 用 和 维护 包含 一 定 的 技术 含量 ， 这 就 要 求 操作 
和 管理 服务 器 的 人 员 必 须 掌握 一 定 的 使 用 知识 。 因 此 ,选择 售后 服务 好 的 IT 产品 ,应 该 
成 为 建设 单位 明智 的 决定 。 
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2. 配置 要 点 

目前 最 基本 的 服务 器 应 用 有 数据 库 服 务 器 、 文件 服务 器 、Web 服务 器 、 邮 件 服务 器 、 
多 媒体 服务 器 和 终端 服务 器 等 。 这 些 应 用 对 于 服务 器 配置 要 求 的 侧重 点 不 同 ， 根 据 不 同 
应 用 采购 不 同 配置 的 服务 器 可 以 使 服务 器 资源 得 到 充分 利用 ， 避 免 资金 和 服务 器 资源 的 
浪费 。 在 下 文中 将 逐一 对 这 几 种 服务 器 的 配置 需求 侧重 点 进行 分 析 ， 为 企业 提供 参考 。 

1) 数据 库 服务 器 

在 企业 的 信息 化 建设 中 ， 数 据 库 是 最 为 广泛 的 一 种 应 用 。 构 建 数据 库 服 务 器 可 以 将 
企业 内 部 数据 合理 进行 存储 和 组 织 ， 使 企业 信息 的 检索 和 查询 执行 更 为 高 效 。 目 前 主流 
应 用 的 数据 库 产 品 有 IBM DB2、Oracle、 微 软 SQL server、MySQL 和 Sybase 等 。 

数据 库 服务 器 对 系统 各 个 方面 要 求 都 很 高 , 要 处 理 大 量 的 随机 IO 请 求 和 数据 传送 ， 
对 内 存 、 磁 盘 以 及 CPU 的 运算 能 力 均 有 一 定 的 要 求 。 内存 方 面 ,数据库 服务 器 需要 高 速 
高 容 的 内 存 来 节省 处 理 器 访问 硬盘 的 时 间 ， 提 高 服务 器 的 响应 速度 。 同 时 ， 一 些 数 据 库 
产品 如 Oracle 对 于 硬件 的 要 求 比较 高 ， 如 安装 Windows 版 本 的 Oracle 10G 要 求 至 少 需 
要 1GB 的 物理 内 存 。 

在 磁盘 方面 ， 高 速 的 磁盘 子 系统 也 可 以 提高 数据 库 服务 器 查询 应 答 的 速度 ， 这 就 要 
求 磁 盘 具 有 高 速 的 接口 和 转速 ， 目 前 主流 应 用 的 存储 介质 有 10k 或 者 15k 转 的 SCSI 硬 
盘 或 SAS 硬盘 等 。 

数据 库 服务 器 对 于 处 理 器 性 能 要 求 也 很 高 。 数 据 库 服 务 器 需要 根据 需求 进行 查询 ， 
然后 将 结果 反馈 给 用 户 。 如 果 查 询 请 求 非 常 多 ， 例 如 大 量 用 户 同时 查询 的 时 候 ， 如 果 服 
务 器 的 处 理 能 力 不 够 强 ， 无 法 处 理 大 量 的 查询 请 求 并 做 出 应 答 ， 那 么 服务 器 可 能 会 出 现 
应 答 缓慢 甚至 死机 的 情况 。 

综 上 ， 数 据 库 服务 器 对 于 硬件 需求 的 优先 级 为 内 存 、 磁 盘 、 处 理 器 (三 者 在 满足 合 
理 搭 配 的 前 提 下 )。 

2) 文件 服务 器 

文件 服务 器 是 用 来 提供 网 络 用 户 访 问 文件 、 目 录 的 并 发 控制 和 安全 保密 措施 的 局 域 
网 服务 器 。 首 先 ， 文 件 服务 器 要 承载 大 容量 数据 在 服务 器 和 用 户 磁盘 之 间 的 传输 ， 因 此 
对 于 网 速 具有 较 高 要 求 。 

其 次 是 对 磁盘 的 要 求 比较 高 ， 文 件 服务 器 要 进行 大 量 数 据 的 存储 和 传输 ， 所 以 对 磁 
担子 系统 的 容量 和 速度 都 有 一 定 的 要 求 。 选择 高 转速 、 高 接口 速度 、 大 容量 缓存 的 磁盘 ， 
并 且 组 建 磁盘 阵列 ， 可 以 有 效 提升 磁盘 系统 传输 文件 的 速度 。 

除 此 之 外 ， 大 容量 的 内 存 可 以 减少 读 写 硬盘 的 次 数 ， 为 文件 传输 提供 缓冲 ， 提 升 数 
据 传输 速度 。 文 件 服务 器 对 于 CPU 等 其 他 部 件 的 要 求 不 是 很 高 。 

综 上 ， 文 件 服务 器 对 于 硬件 需求 的 优先 级 为 网 络 系统 、 磁 盘 系 统 和 内 存 。 

3) Web 服务 器 

不 同 的 网 站 内 容 对 于 Web 服务 器 硬件 需求 也 是 不 同 的 ， 如 果 Web 站 点 是 静态 的 ， 
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对 Web 服务 器 硬件 要 求 从 高 到 低 依次 是 网 络 系统 、 内 存 、 磁 盘 系 统 、CPU。 如 果 Web 
服务 器 主要 进行 密集 计算 〈 例 如 ， 动 态 产生 Web 页 )， 则 对 服务 器 硬件 需求 依次 为 内 存 、 
CPU、 磁 盘子 系统 和 网 络 系统 。 

4) 邮件 服务 器 

邮件 服务 器 是 对 实时 性 要 求 不 高 的 一 个 系统 ， 对 于 处 理 器 性 能 要 求 不 是 很 高 ， 但 是 
由 于 要 支持 一 定数 量 的 并 发 连接 ， 对 于 网 络 子 系统 和 内 存 有 一 定 的 要 求 。 邮 件 服务 器 软 
件 对 于 内 存 需求 也 较 高 。 同 时 ,邮件 服务 器 需要 较 大 的 存储 空间 来 存储 邮件 及 一 些 文件 ， 
但 是 对 中 小 企业 来 说 ， 企 业 邮 箱 的 数量 一 般 只 在 几 百 个 以 下 ， 所 以 对 于 服务 器 的 配置 要 
求 并 不 高 ， 一 台 入 门 级 的 服务 器 完全 可 以 承载 几 百 个 邮件 客户 端的 需求 。 

邮件 服务 器 对 于 硬件 要 求 的 优先 程度 依次 为 内 存 、 磁 盘 、 网 络 系统 、 处 理 器 。 

5) 终端 服务 器 

终端 服务 器 是 实现 集中 化 应 用 程序 访问 的 一 种 服务 器 。 使 用 终端 服务 的 客户 可 以 在 
远程 以 图 形 界面 的 方式 访问 服务 器 , 并 且 可 以 调用 服务 器 中 的 应 用 程序 、 组 件 和 服务 等 ， 
和 操作 本 机 系统 一 样 。 这 样 的 访问 方式 不 仅 大 大 方便 了 各 种 各 样 的 用 户 ， 而 且 大 大 地 提 
高 了 工作 效率 ， 并 且 能 有 效 地 节约 企业 的 成 本 。 

终端 服务 器 由 于 是 将 客户 端的 所 有 负载 均 加 在 服务 器 端 ， 所 以 对 于 服务 器 的 处 理 能 
力 有 一 定 的 要 求 ， 处 理 器 要 可 以 承载 一 定数 量 的 并 发 请 求 ， 提 供 快 速 的 响应 速度 ， 如 果 
处 理 能 力 不 够 ， 容 易 造成 服务 器 响应 缓慢 、 软 件 运行 错误 甚至 宕 机 的 情况 。 高 速 大 容量 
的 内 存 可 以 提高 终端 服务 器 的 响应 速度 ， 也 是 提升 整体 性 能 的 必要 条 件 之 一 。 由 于 终端 
服务 器 与 客户 端的 数据 传输 量 并 不 是 很 大 ， 所 以 对 于 网 络 要 求 不 是 很 高 ， 并 且 终 端 服 务 
器 主要 是 应 用 于 企业 内 部 网 络 ， 内 部 高 速 的 局 域 网 环境 完全 可 以 满足 终端 服务 器 和 客户 
端 之 间 的 带宽 需求 。 

综 上 , 终端 服务 器 对 于 硬件 要 求 的 优先 程度 依次 为 处 理 器 、 内 存 、 磁 盘 和 网 络 系统 。 

总 结 : 上 文 列 出 了 几 种 最 为 常用 的 服务 器 角色 对 于 硬件 需求 的 优先 级 , 从 总 体 来 看 ， 
因为 这 几 种 应 用 角色 对 服务 器 的 处 理 器 、 内 存 、 磁 盘 、 网 络 系统 的 需求 程度 并 不 相同 ， 
所 以 在 服务 器 规划 选 型 的 时 候 ， 不 要 一 味 地 追求 服务 器 的 处 理 速 度 。 举 个 例子 来 说 ， 双 
路 四 核 服务 器 的 处 理性 能 很 强 , 但 是 用 来 做 百 余 个 客户 端的 邮件 服务 器 或 者 静态 Web 服 
务 器 性 能 并 不 会 比 单 路 双核 服务 器 优异 多 少 , 大 部 分 的 服务 器 资源 都 会 被 浪费 掉 。 所 以 ， 
在 选 购 之 初 明确 自身 需求 以 及 应 用 种 类 ， 对 症 下 药 才 是 明智 之 举 。 

服务 器 性 能 的 量化 指标 一 直 是 业内 关注 的 问题 。 常 见 的 量化 指标 有 交易 处 理性 能 委 
员 会 〈http:/wwwtpc.org) 的 联机 事务 处 理性 能 指标 TPCC 值 和 标准 性 能 评估 公司 
Chttp:/www.spec.org) 的 Web、Java 等 性 能 指标 SPEC 值 ， 但 是 只 有 部 分 厂家 的 部 分 型 
号 的 服务 器 能 够 在 这 两 个 网 站 上 查 到 性 能 指标 。 即 使 能 查 到 ，TPCC 值 和 SPEC 值 也 只 
能 作为 服务 器 规划 选 型 的 参考 。 还 有 一 个 在 HPC 领域 常用 的 性 能 指标 FLOPS (Floating- 
point Operations Per Second, 每 秒 执行 的 浮 点 运算 次 数 ), 反映 的 是 一 台 服 务 器 中 CPU 的 
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理论 峰值 性 能 , 虽然 FLOPS 大 大 高 于 实际 性 能 (即便 是 LINPACK 值 ,通常 也 只 是 FLOPS 
的 40% 一 80%6)， 但 也 可 供 参考 使 用 。FLOPS 的 计算 公式 是 : 
FLOPS=CPU 主 频 XCPU 核 数 XFPU 数 (/ 核 ) X2 
其 中 ,“FPU 数 〈/ 核 )” 是 一 个 CPU 核 中 的 浮 点 处 理 单元 (FPU) 数 。 


3.1.4 服务 器 相关 技术 


1. 64 位 计算 

由 于 x86 架构 服务 器 32 位 计算 能 力 的 限制 ， 使 得 “企业 计算 平台 统一 化 ”的 进程 
在 经 历 了 前 几 年 高 速 发 展 之 后 ， 开 始 遇 到 了 瓶颈 。64 位 计算 与 32 位 计算 的 最 大 区 别 在 
于 “ 寻 址 能 力 ” 和 “数据 处 理 能 力 ”，64 位 计算 平台 基于 64 位 长 的 “寄存 器 ”， 提 供 比 
32 位 更 大 的 数据 带宽 和 寻 址 能 力 。 

基于 x86 服务 器 的 Intel 至 强 处 理 器 、AMD Opteron 以 64 位 计算 ， 有 效 解决 了 32 
位 计算 系统 的 瓶颈 。 同 时 ， 伴 随 新 至 强 发 布 的 DDR2、PCI-EXPRESS 等 芯片 组 的 升级 ， 
也 为 系统 性 能 整体 的 提升 提供 了 有 力 支 持 。 随 着 Intel 和 AMD 同 在 低 端 服务 器 领域 发 起 
64 位 普及 攻坚 战 ， 基 于 x86 服务 器 的 64 位 应 用 需求 可 能 受到 激发 ， 相 关 应 用 增长 就 可 
能 存在 一 个 激增 点 。 

2. 双核 和 多 核 处 理 器 

多 核 技术 也 称 为 芯片 上 多 处 理 器 技术 (CMP)， 目 前 已 经 成 为 当前 微 处 理 器 发 展 的 
方向 。 多 内 核 的 想法 脱胎 于 摩尔 定律 〈 芯 片上 晶体 管 的 数目 每 两 年 增加 一 倍 )。 过 去 ， 为 
了 增加 高 速 缓存 〈 用 于 快速 数据 访问 的 集成 的 存储 池 ) 的 尺寸 ， 或 者 为 了 增强 其 他 提高 
性 能 的 部 件 〈 例 如 指令 水 平 并 行 度 ， 人 允许 芯 片 每 个 时 钟 周期 执行 多 个 任务 )， 经 常 要 使 用 
更 多 的 晶体 管 。 但 是 ， 现 在 芯片 厂商 用 更 多 的 晶体 管 来 制造 更 多 核心 ， 以 提高 性 能 ， 这 
种 方法 不 会 显著 增加 芯片 功 耗 。 

3. 了 PCI-E 技术 

与 传统 PCI 以 及 更 早期 的 计算 机 总 线 的 共享 并 行 架构 相 比 , PCI Express 采用 设备 间 
的 点 对 点 串 行 连接 (serial interface)。 即 允许 每 个 设备 都 有 自己 的 专用 连接 ， 是 独占 的 ， 
并 不 需要 向 整个 总 线 请 求 带 宽 ， 同 时 ， 利 用 串 行 的 连接 特点 能 将 数据 传输 速度 提高 到 
2.5Gbps 的 单 向 单线 连接 的 频率 ， 达 到 远 超 出 PCI 总 线 的 传输 速率 。 针 对 不 同 的 设备 ， 
可 以 实现 x1、x2、x4、x8、x12、x16 或 x32 灵活 的 配置 ， 满 足 带宽 的 不 同 要 求 。 串 行 连 
接 还 可 以 大 大 减少 电缆 间 的 信号 和 电磁 干扰 ， 由 于 传输 线条 数 有 所 减少 ， 更 能 节省 空间 
和 连接 更 远 的 距离 ， 简 化 了 PCI 的 设计 ， 降 低 了 系统 成 本 。 

4. ECC 内 存 技术 

ECC (Error Checking and Correcting， 错误 检查 和 纠正 ) 不 是 一 种 内 存 类 型 ， 只 是 一 
种 内 存 技术 。ECC 纠 错 技术 也 需要 额外 的 空间 来 储存 校正 码 ， 但 其 占用 的 位 数 跟 数据 的 
长 度 并 非 呈 线性 关系 。 
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通俗 地 讲 ， 一 个 8 位 的 数据 产生 的 ECC 码 要 占用 5 位 的 空间 ， 而 一 个 16 位 的 数据 
ECC 码 只 需 在 原来 基础 上 再 增加 一 位 ， 也 就 是 6 位 ;而 32 位 的 数据 则 只 需 再 在 原来 的 
基础 上 增加 一 位 ， 即 7 位 的 ECC 码 即 可 ， 依 此 类 推 。ECC 码 将 信息 进行 8 位 的 编码 ， 
采用 这 种 方式 可 以 恢复 1 位 的 错误 。 每 一 次 数据 写 入 内 存 时 ，ECC 码 使 用 一 种 特殊 的 算 
法 对 数据 进行 计算 ， 其 结果 称 为 校 验 位 〈check bits)。 然 后 将 所 有 校 验 位 加 在 一 起 的 和 
是 “ 校 验 和 《〈check sum)”， 校 验 和 与 数据 一 起 存放 。 当 这 些 数 据 从 内 存 中 读 出 时 ， 采 用 
同一 算法 再 次 计算 校 验 和 ， 并 和 前 面 的 计算 结果 相 比较 ， 如 果 结 果 相 同 ， 说 明 数 据 是 正 
确 的 ， 反之 ， 说 明 有 错误 ，ECC 可 以 从 逻辑 上 分 离 错误 并 通知 系统 。 当 只 出 现 单位 错误 
时 ，ECC 可 以 把 错误 改正 过 来 不 影响 系统 运行 。 

除了 能 够 检查 到 并 改正 单位 错误 之 外 ，ECC 码 还 能 检查 到 (但 不 改正 ) 单 DRAM 
芯片 上 发 生 的 任意 两 个 随机 错误 , 并 最 多 可 以 检查 到 4 位 的 错误 。 当 有 多 位 错误 发 生 时 ， 
ECC 内 存 会 生成 一 个 不 可 隐藏 (non-maskable interrupt) 的 中 断 ， 会 中 止 系统 运行 ， 以 避 
免 出 现 数据 恶化 。ECC 内 存 技术 虽然 可 以 同时 检测 和 纠正 单位 错误 ， 但 如 果 同 时 检测 出 
两 个 以 上 位 的 数据 有 错误 ， 则 无 能 为 力 。 

5. 刀片 服务 器 

刀片 服务 器 是 一 种 HAHD (High Availability High Density， 高 可 用 高 密度 ) 的 低 成 
本 服务 器 平台 ， 是 专门 为 特殊 应 用 行业 和 高 密度 计算 机 环境 设计 的 。 其 中 ， 每 一 块 “ 刀 
片 ”实际 上 就 是 一 块 系统 主板 ， 它 可 以 通过 本 地 硬盘 启动 自己 的 操作 系统 ， 如 Windows 
NT/2000、Linux 和 Solaris 等 ， 类 似 于 一 个 独立 的 服务 器 。 在 这 种 模式 下 ， 每 一 个 主板 
运行 自己 的 系统 ， 服 务 于 指定 的 不 同 用户 群 ， 相 互 之 间 没 有 关联 。 不 过 可 以 用 系统 软件 
将 这 些 主板 集合 成 一 个 服务 器 集群 。 在 集群 模式 下 ， 所 有 的 主板 可 以 连接 起 来 提供 高 速 
的 网 络 环境 ， 可 以 共享 资源 ， 为 相同 的 用 户 群 服务 。 在 集群 中 插入 新 的 “刀片 ” 就 可 以 
提高 整体 性 能 。 而 由 于 每 块 “ 刀 片 ” 都 是 热 揪 拔 的 ， 所 以 系统 可 以 轻松 地 进行 替换 ， 从 
而 便于 进行 升级 、 维 护 。 

服务 器 集群 作为 一 种 实现 负载 均衡 的 技术 ， 可 以 有 效 地 提高 服务 的 稳定 性 和 核心 网 
络 服务 的 性 能 ， 还 可 以 提供 元 余 和 容错 功能 。 理 论 上 ， 服 务 器 集群 可 以 扩展 到 无 限 数量 
的 服务 器 。 无 疑 ， 服 务 器 集群 和 RAID 镜像 技术 的 诞生 为 计算 机 和 数据 池 的 Internet 应 
用 提供 了 一 个 新 的 解决 方案 ， 其 成 本 远 远 低 于 传统 的 高 端 专用 服务 器 。 但 是 ， 服 务 器 集 
群 的 集成 能 力 低 ， 管 理 这样 的 集群 使 很 多 IDC 都 非常 头疼 。 尤 其 是 集群 扩展 的 需求 越 来 
越 大 ， 维 护 这 些 服务 器 的 工作 量 很 大 ， 包 括 服务 器 之 间 的 内 部 连接 和 摆 放 空间 的 要 求 。 
这 些 物理 因素 都 限制 了 集群 的 扩展 。 刀 片 服务 器 (Blade Server) 的 出 现 适时 地 解决 了 这 
样 的 问题 。 高 密度 服务 器 内 置 了 监视 器 和 管理 工具 软件 ， 可 以 几 十 个 甚至 上 百 个 地 堆放 
在 一 起 。 配 置 一 台 高 密度 服务 器 就 可 以 解决 一 台 到 一 百 台 服务 器 的 管理 问题 。 如 果 需 要 
增加 或 者 删除 集群 中 的 服务 器 ， 只 要 插入 或 拔 出 一 个 CPU 板 即 可 。 从 这 个 意义 上 来 说 ， 
Blade Server 克服 了 服务 器 集群 的 缺点 。 
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6. SMP 技术 

SMP (Symmetrical MultiProcessing， 对 称 多 处 理 ) 技术 是 相对 非 对 称 多 处 理 技术 而 
言 的 、 应 用 十 分 广泛 的 并 行 技术 。 在 这 种 架构 中 ， 多 个 处 理 器 运行 操作 系统 的 单一 复 本 ， 
并 共享 内 存 和 一 台 计 算 机 的 其 他 资源 。 所 有 的 处 理 器 都 可 以 平等 地 访问 内 存 、IO 和 外 
部 中 断 。 

在 非 对 称 多 处 理 系统 中 , 任务 和 资源 由 不 同 处 理 器 进行 管理 , 有 的 CPU 只 处 理 IO， 
有 的 CPU 只 处 理 操作 系统 的 提交 任务 ， 显 然 非 对称 多 处 理 系统 是 不 能 实现 负载 均衡 的 。 
在 对 称 多 处 理 系统 中 , 系统 资源 被 系统 中 所 有 CPU 共享 , 工作 负载 能 够 均匀 地 分 配 到 所 
有 可 用 处 理 器 之 上 。 

目前 ， 大 多 数 SMP 系统 的 CPU 是 通过 共享 系统 总 线 来 存 取 数 据 ， 实 现 对 称 多 处 理 
的 。 例 如 ， 某 些 RISC 服务 器 厂商 使 用 Crossbar 或 Switch 方式 连接 多 个 CPU， 虽 然 性 能 
和 可 扩展 性 优 于 Intel 架构 ， 但 SMP 的 扩展 性 仍 有 限 。 

在 SMP 系统 中 增加 更 多 处 理 器 的 难点 是 系统 不 得 不 消耗 资源 来 支持 处 理 器 抢占 内 存 ， 
以 及 内 存 同步 两 个 主要 问题 。 抢 占 内 存 是 指 当 多 个 处 理 器 共同 访问 内 存 中 的 数据 时 ， 它 
们 并 不 能 同时 去 读 写 数据 , 虽然 一 个 CPU 正 读 一 段 数据 时 ， 其 他 CPU 可 以 读 这 段 数据 ， 
但 当 一 个 CPU 正在 修改 某 段 数据 时 ， 该 CPU 将 会 锁定 这 段 数据 ， 其 他 CPU 要 操作 这 段 

显然 ，CPU 越 多 ， 这 样 的 等 待 问题 就 越 严 重 ， 系 统 性 能 不 仅 无 法 提升 ， 甚 至 下 降 。 
为 了 尽 可 能 地 增加 更 多 的 CPU， 现 在 的 SMP 系统 基本 上 都 采用 增 大 服务 器 Cache 容量 
的 方法 来 减少 抢占 内 存 问 题 ， 因 为 Cache 是 CPU 的 “本 地 内 存 ” 它 与 CPU 之 间 的 数据 
交换 速度 远 远 高 于 内 存 总 线 速度 。 又 由 于 Cache 支持 不 共享 ， 这 样 就 不 会 出 现 多 个 CPU 
抢占 同一 段 内 存 资源 的 问题 了 ， 许 多 数据 操作 就 可 以 在 CPU 内 置 的 Cache 或 CPU 外 置 
的 Cache 中 顺利 完成 。 

然而 ，Cache 的 作用 虽然 解决 了 SMP 系统 中 的 抢占 内 存 问 题 , 但 又 引起 了 另 一 个 较 
难 解 决 的 所 谓 “ 内 存 同步 ”问题 。 在 SMP 系统 中 ， 各 CPU 通过 Cache 访问 内 存 数据 时 ， 
要 求 系统 必须 经 常 保持 内 存 中 的 数据 与 Cache 中 的 数据 一 致 ， 若 Cache 的 内 容 更 新 了 ， 
内 存 中 的 内 容 也 应 该 相应 更 新 ， 否 则 就 会 影响 系统 数据 的 一 致 性 。 由 于 每 次 更 新 都 需要 
占用 CPU， 还 要 锁定 内 存 中 被 更 新 的 字段 ， 而 且 更 新 频率 过 高 又 必然 影响 系统 性 能 ， 更 
新 间隔 过 长 也 有 可 能 导致 因 交 叉 读 写 而 引起 数据 错误 , 因此 , SMP 的 更 新 算法 十 分 重要 。 
目前 的 SMP 系统 多 采用 侦 听 算法 来 保证 CPU Cache 中 的 数据 与 内 存 保持 一 致 。Cache 
越 大 ， 抢 占 内 存 再 现 的 概率 就 越 小 ， 同 时 由 于 Cache 的 数据 传输 速度 高 ，Cache 的 增 大 
还 提高 了 CPU 的 运算 效率 ， 但 系统 保持 内 存 同步 的 难度 也 很 大 。 

在 硬件 方面 ，SMP 可 以 在 UltraSPARC、SPARC64、Alpha 以 及 PowerPC 架构 上 实 
现 ， 也 可 以 利用 包括 486 以 上 所 有 Intel 芯片 来 实现 。 
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7. 集群 技术 

集群 《Cluster) 技术 是 近 几 年 兴起 的 发 展 高 性 能 计算 机 的 一 项 技术 。 它 是 一 组 相互 
独立 的 计算 机 ， 利 用 高 速 通信 网 络 组 成 一 个 单一 的 计算 机 系统 ， 并 以 单一 系统 的 模式 加 
以 管理 。 其 出 发 点 是 提供 高 可 靠 性 、 可 扩充 性 和 抗灾 难 性 。 一 个 集群 包含 多 台 拥 有 共享 
数据 存储 空间 的 服务 器 , 各 服务 器 通过 内 部 局 域 网 相互 通信 。 当 一 台 服 务 器 发 生 故 障 时 ， 
它 所 运行 的 应 用 程序 将 由 其 他 服务 器 自动 接管 。 在 大 多 数 模式 下 ， 集 群 中 所 有 的 计算 机 
拥有 一 个 共同 的 名 称 ， 集 群 内 的 任 一 系统 上 运行 的 服务 都 可 被 所 有 的 网 络 客户 使 用 。 采 
用 集群 系统 通常 是 为 了 提高 系统 的 稳定 性 和 网 络 中 心 的 数据 处 理 能 力 及 服务 能 力 。 

常见 集群 技术 如 下 。 

1) 服务 器 镜像 技术 

服务 器 镜像 技术 是 将 建立 在 同一 个 局 域 网 之 上 的 两 台 服务 器 通过 软件 或 其 他 特殊 
的 网 络 设备 《例如 镜像 卡 ) 将 两 台 服务 器 的 硬盘 做 镜像 。 其 中 ， 一 台 服 务 器 被 指定 为 主 
服务 器 ， 另 一 台 为 从 服务 器 。 客 户 只 能 对 主 服务 器 上 的 镜像 的 卷 进行 读 写 ， 即 只 有 主 服 
务 器 通过 网 络 向 用 户 提供 服务 ， 从 服务 器 上 相应 的 卷 被 锁定 以 防 对 数据 的 存 取 。 主 /从 服 
务 器 分 别 通过 心跳 监测 线路 互相 监测 对 方 的 运行 状态 ， 当 主 服 务 器 因 故 障 宕 机 时 ， 从 服 
务 器 将 在 很 短 的 时 间 内 接管 主 服务 器 的 应 用 。 

服务 器 镜像 技术 的 特点 是 成 本 较 低 ， 提 高 了 系统 的 可 用 性 ， 保 证 了 在 一 台 服 务 器 宕 
机 的 情况 下 系统 仍然 可 用 。 但 是 ， 这 种 技术 仅 限 于 两 台 服务 器 的 集群 ， 系 统 不 具有 可 扩 
展 性 。 

2) 应 用 程序 错误 接管 集群 技术 

潍 误 接管 集群 技术 是 将 建立 在 同一 个 网 络 里 的 两 台 或 多 台 服 务 器 通过 集群 技术 连 
接 起 来 ， 集 群 节点 中 的 每 台 服 务 器 各 自 运行 不 同 的 应 用 ， 具 有 自己 的 广播 地 址 ， 对 前 端 
用 户 提供 服务 ， 同 时 每 台 服 务 器 又 监测 其 他 服务 器 的 运行 状态 ， 为 指定 服务 器 提供 热 备 
份 服 务 。 

潍 误 接管 集群 技术 通常 需要 共享 外 部 存储 设备 ， 例 如 磁盘 阵列 柜 ， 两 台 或 多 台 服 务 
器 通过 SCSI 电线 或 光纤 与 磁盘 阵列 柜 相 连 ， 数 据 都 存放 在 磁盘 阵列 柜上 。 这 种 集群 系 
统 中 通常 是 两 个 节点 互 为 备份 的 ， 而 不 是 几 台 服务 器 同时 为 一 台 服 务 器 备份 ， 集 群 系统 
中 的 节点 通过 串口 、 共 享 磁盘 分 区 或 内 部 网 络 来 互相 监测 对 方 的 心跳 。 

错误 接管 集群 技术 经 常用 在 数据 库 服 务 器 、MAIL 服务 器 等 的 集群 中 。 这 种 集群 技 
术 由 于 采用 共享 存储 设备 ， 所 以 增加 了 外 设 费 用 。 它 最 多 可 以 实现 32 台 机 器 的 集群 ， 极 
大 地 提高 了 系统 的 可 用 性 及 可 扩展 性 。 目 前 在 提高 系统 的 可 用 性 方面 用 得 比较 广泛 的 是 
应 用 程序 错误 接管 技术 ， 即 通常 所 采用 的 双 机 通过 SCSI 电缆 或 光纤 共享 磁盘 阵列 的 集 
群 技术 。 

3) 容错 集群 技术 

容错 集群 技术 的 一 个 典型 应 用 即 容错 机 , 在 容错 机 中 , 每 一 个 部 件 都 具有 元 余 设计 。 
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在 容错 集群 技术 中 ， 集 群 系统 的 每 个 节点 都 与 其 他 节点 紧密 地 联系 在 一 起 ， 它 们 经 常 需 
要 共享 内 存 、 硬 盘 、CPU 和 IO 等 重要 的 子 系统 。 容 错 集群 系统 中 各 个 节点 被 共同 映像 
成 为 一 个 独立 的 系统 ， 并 且 所 有 节点 都 是 这 个 映像 系统 的 一 部 分 。 在 容错 集群 系统 中 ， 
各 种 应 用 在 不 同 节点 之 间 的 切换 可 以 很 平滑 地 完成 ， 不 需 切 换 时 间 。 

容错 集群 技术 的 实现 往往 需要 特殊 的 软 硬 件 设 计 ， 因 此 成 本 很 高 ， 但 是 容错 系统 最 
大 限度 地 提高 了 系统 的 可 用 性 ， 是 财政 、 金 融和 安全 部 门 的 最 佳 选择 。 

8. 模块 化 结构 

模块 化 服务 器 主要 包括 计算 模块 、LO 模块 和 海量 存储 器 模块 。 这 些 模 块 协同 工作 ， 
构成 一 个 模块 化 服务 器 系统 。 在 一 个 模块 化 服务 器 系统 中 ， 可 以 分 别 对 每 一 个 模块 进行 
升级 、 故 障 查找 , 或 用 新 模块 替换 旧 模 块 ， 同 类 模块 也 可 以 随时 加 入 到 模块 化 服务 器 中 ， 
以 便 对 系统 进行 扩展 。 

模块 化 服务 器 的 最 大 好 处 之 一 ， 就 是 可 以 保护 客户 的 投资 。 模 块 化 服务 器 是 一 种 可 
伸缩 的 服务 器 ， 客 户 可 以 随 着 业务 需要 ， 通 过 向 服务 器 中 添加 各 种 模块 ， 扩 展 他 们 的 服 
务 器 系统 ， 另 一 个 显著 优点 是 维护 管理 十 分 方便 。 模 块 化 服务 器 增强 了 系统 的 可 用 性 和 
容错 性 。 从 高 性 能 多 处 理 器 计算 机 体系 结构 观点 来 看 ，ccNUMA 体系 结构 把 多 个 处 理 器 
通过 路 由 器 光纤 互联 在 一 起 ， 系 统 带宽 可 随 系 统 规模 扩大 而 增加 ， 从 而 克服 了 基于 总 线 
的 SMP 体系 结构 所 造成 的 瓶颈 。ccNUMA 结构 采用 超 立 方 体 的 多 维 互联 特性 ， 加 上 模 
块 化 计算 所 带 来 的 灵活 性 , 使 系统 的 可 伸缩 性 达到 了 前 所 未 有 的 水 平 , 同时 节省 了 费用 。 
因此 ， 模 块 化 的 NUMA 服务 器 在 灵活 性 和 经 济 性 方面 达到 了 一 个 新 境界 。 

9. 硬件 分 区 

硬件 分 区 ， 是 将 一 台 服 务 器 的 硬件 分 割 成 多 个 分 区 的 体系 结构 。 将 服务 器 配置 的 处 
理 器 、 内 存 和 IO 控制 器 等 硬件 资源 分 配给 多 个 分 区 ， 让 各 分 区 上 运行 不 同 的 OS， 也 就 
是 提供 “分 区 功能 ”。 利用 系统 的 硬件 分 区 能 力 ， 系 统 可 同时 为 多 种 不 同 操作 系统 提供 支 
持 ， 从 而 满足 客户 对 相同 物理 硬件 不 断 增长 的 需求 。 系 统 分 区 最 初 是 静态 的 ， 当 资源 从 
一 个 分 区 移 到 另 一 个 分 区 时 ， 这 两 个 分 区 中 的 应 用 和 操作 系统 需要 停止 ， 在 操作 控制 台 
对 系统 重新 配置 后 ， 应 用 和 操作 系统 才 可 以 重新 启动 。 随 着 操作 系统 进一步 完善 ， 操 作 
系统 在 支持 热 插 拔 和 热 添 加 能 力 的 同时 ， 也 为 动态 分 区 提供 了 所 需要 的 支持 基础 。 这 就 
是 说 ， 资 源 可 以 在 各 个 分 区 之 间 移 动 ， 而 不 会 影响 这 一 分 区 中 的 应 用 运行 。 

10. ISC 

ISC (Intel Server Control，Intel 服务 器 控制 ) 是 一 种 网 络 监控 技术 ， 只 适用 于 使 用 
Intel 架构 的 带 有 集成 管理 功能 主板 的 服务 器 。 采 用 这 种 技术 后 , 用 户 在 一 台 普 通 的 客户 
机 上 就 可 以 监测 网 络 上 所 有 使 用 Intel 主板 的 服务 器 ， 监 控 和 判断 服务 器 是 否 “健康 ”。 
一 旦 服务 器 中 机 箱 、 电 源 、 风 扇 、 内 存 、 处 理 器 、 系 统 信息 、 温 度 、 电 压 或 第 三 方 硬件 
中 的 任何 一 项 出 现 错误 ， 就 会 报警 提示 管理 人 员 。 值 得 一 提 的 是 ， 监 测 端 和 服务 器 端 之 
间 的 网 络 可 以 是 局 域 网 也 可 以 是 广域网 ， 可 直接 通过 网 络 对 服务 器 进行 启动 、 关 闭 或 重 
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新 置 位 ， 极 大 地 方便 了 管理 和 维护 工作 。 

11. EMP 

EMP (Emergency Management Port， 应 急 管 理 端口 ) 是 服务 器 主板 上 所 带 的 一 个 用 
于 远程 管理 服务 器 的 接口 。 远 程控 制 机 可 以 通过 Modem 与 服务 器 相连 ， 控 制 软件 安装 
于 控制 机 上 。 远 程控 制 机 通过 EMP Console 控制 界面 可 以 对 服务 器 进行 下 列 工作 。 

(1) 打开 或 关闭 服务 器 的 电源 。 

(2) 重新 设置 服务 器 ， 甚 至 包括 主板 BIOS 和 CMOS 的 参数 。 

(3) 监测 服务 器 内 部 情况 ， 如 温度 、 电 压 和 风扇 情况 等 。 

12.I2O 

IO (Intelligent InputOutput， 智 能 输入 输出 ) 技术 由 于 PC 服务 器 的 IO 体系 源 于 
单 用 户 的 PC, 而 不 是 为 处 理 大 吞吐 量 任务 的 专用 服务 器 而 设计 的 , 一 旦 成 为 网 络 中 心 设 
备 后 ， 数 据 传输 量 大 大 增加 ， 因 而 IO 数据 传输 经 常会 成 为 整个 系统 的 瓶颈 。I2O 智能 
输入 输出 技术 把 任务 分 配给 智能 IO 系统 ， 在 这 些 子 系统 中 ， 专 用 的 VO 处 理 器 将 负责 
中 断 处 理 、 缓 冲 存 取 以 及 数据 传输 等 烦琐 任务 ， 这 样 系统 的 吞吐 能 力 就 得 到 了 提高 ， 服 
务 器 的 主 处 理 器 也 能 被 解放 出 来 去 处 理 更 为 重要 的 任务 。 因 此 ， 依 据 DO 技术 规范 实现 
的 PC 服务 器 在 硬件 规模 不 变 的 情况 下 能 处 理 更 多 的 任务 ， 作 为 中 小 型 网 络 核心 的 低 端 
PC 服务 器 可 以 从 中 获得 更 多 的 性 能 提高 。 

13. 热 插 拔 

热 插 拔 (hot swap) 功能 就 是 允许 用 户 在 不 关闭 系统 ， 不 切断 电源 的 情况 下 取出 和 
更 换 损坏 的 硬盘 、 电 源 或 板 卡 等 部 件 ， 从 而 提高 了 系统 对 灾难 的 及 时 恢复 能 力 、 扩 展 性 
和 灵活 性 等 。 例 如 ， 一 些 面向 高 端 应 用 的 磁盘 镜像 系统 都 可 以 提供 磁盘 的 热 插 拔 功 能 。 
如 果 没 有 热 插 拔 功能 , 即使 磁盘 损坏 不 会 造成 数据 的 丢失 , 用 户 仍然 需要 和 暂时 关闭 系统 ， 
以 便 能 够 对 硬盘 进行 更 换 。 而 使 用 热 播 拔 技术 ， 只 要 简单 地 打开 连接 开关 或 者 转动 手柄 
就 可 以 直接 取出 硬盘 ， 而 系统 仍然 可 以 不 间断 地 正常 运行 。 


3.2 ”网络 存 储 系统 


3.2.1 SCSI 接 口 卡 与 控制 卡 


1. 接口 分 类 

硬盘 接口 是 硬盘 与 主机 系统 间 的 连接 部 件 ， 作 用 是 在 硬盘 缓存 和 主机 内 存 之 间 传 输 
数据 。 每 种 接口 协议 拥有 不 同 的 技术 规范 ， 有 具备 不 同 的 传输 速度 ， 其 存 取 效 能 的 差异 较 
大 ， 所 面 对 的 实际 应 用 和 目标 市 场 也 各 不 相同 。 同 时 ， 各 接口 协议 所 处 的 技术 生命 阶段 
也 各 不 相同 ， 有 些 已 经 面临 淘汰 ， 有 些 则 前 景 光明 ， 但 发 展 尚未 成 熟 。 因 此 ， 了 解 一 款 
磁盘 阵列 的 硬盘 接口 往往 是 衡量 这 款 产品 的 关键 指标 之 一 。 存 储 系统 中 目前 普遍 应 用 的 
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硬盘 接口 主要 包括 SATA、SCSI、SAS 和 FC 等 。 

ATA (AT bus Attachment) 硬盘 在 SATA 硬盘 出 现 前 多 用 于 家 用 产品 。ATA 是 广 为 
使 用 的 IDE 和 EIDE 设备 的 相关 标准 ， 它 是 并 行 式 的 内 部 硬盘 总 线 。 

SATA (Serial AIA) 是 作为 前 期 并 行 AITA (PATA) 的 硬盘 接口 的 升级 技术 而 出 现 的 ， 
由 于 采用 串 行 方式 传输 数据 而 知名 。 由 于 其 具有 成 本 低 、 数 据 传输 速度 高 、 可 靠 性 强 、 
扩 配 实现 简单 、 减 少 系统 布线 的 复杂 度 等 优点 ， 受 到 业界 的 重视 和 欢迎 。 随 着 SATA 技 
术 逐 渐 成 熟 ， 该 标准 的 硬盘 已 经 正式 取代 了 传统 的 PATA 硬盘 ， 成 为 了 中 低 端 服务 器 的 
标准 配置 。 与 此 同时 ， 业 界 为 了 满足 SATA 硬盘 的 发 展 需要 ， 在 关键 的 芯片 设计 时 ， 不 
仅 考 虑 到 SATA 接口 的 连接 ， 同 时 为 了 提高 数据 的 传输 性 能 和 保证 数据 的 安全 性 ， 提 出 
了 SATA raid 技术 。 该 技术 不 需要 额外 的 硬件 成 本 ， 就 可 以 实现 用 户 的 数据 保护 和 性 能 
提升 。 

SCSI 接口 的 硬盘 则 主要 应 用 于 服务 器 市 场 。SAS 〈Serial Attached SCSI， 串 行 连 接 
SCSI) 是 并 行 SCSI 接口 之 后 开发 出 的 新 一 代 SCSI 技术 。 和 现在 流行 的 SATA 硬盘 相同 ， 
都 是 采用 串 行 技术 以 获得 更 高 的 传输 速度 ， 并 通过 缩短 连接 线 改善 内 部 空间 等 。 此 接口 
的 设计 是 为 了 改善 存储 系统 的 效能 、 可 用 性 和 扩充 性 ,并且 提供 与 SATA 硬盘 的 兼容 性 。 

FC (Fibre Channel， 光 纤 通 道 ) 和 SCSI 接口 一 样 ， 最 初 也 不 是 为 硬盘 设计 开发 的 
接口 技术 ， 是 专门 为 网 络 系统 设计 的 ， 随 着 存储 系统 对 速度 的 需求 ， 才 逐渐 应 用 到 硬盘 
系统 中 。FC 是 为 提高 多 硬盘 存储 系统 的 速度 和 灵活 性 才 开发 的 , 它 的 出 现 大 大 提高 了 多 
硬盘 系统 的 通信 速度 。 光 纤 通 道 的 主要 特性 有 热 插 拔 性 、 高 速 带宽 、 远 程 连接 和 连接 设 
备 数量 大 等 。 

2. SCSI 

SCSI (Small Computer System Interface， 小 型 计算 机 系统 接口 ) 是 一 种 专门 为 小 型 
计算 机 系统 设计 的 存储 单元 接口 模式 ,通常 用 于 服务 器 承担 关键 业务 的 较 大 的 存储 负载 ， 
价格 也 较 贵 。SCSI 计算 机 可 以 发 送 命令 到 一 个 SCSI 设备 ， 磁 盘 可 以 移动 驱动 臂 定位 磁 
头 ， 在 磁盘 介质 和 缓存 中 传递 数据 ， 整 个 过 程 在 后 台 执行 。 这 样 可 以 同时 发 送 多 个 命令 
同时 操作 ,适合 大 负载 的 IO 应 用 。 在 磁盘 阵列 上 的 整体 性 能 大 大 高 于 基于 ATA 硬盘 的 
阵列 。 

SCSI 规范 发 展 到 今天 ， 已 经 是 第 六 代 技术 了 ， 从 刚 创 建 时 的 SCSI (8 位 ) 到 今天 
的 Ultra 320 SCSI, 速度 从 1.2MBps 到 现在 的 320MBps, 有 了 质 的 飞跃 。 目 前 的 主流 SCSI 
硬盘 都 采用 了 Ultra 320 SCSI 接口 , 能 提供 320MBps 的 接口 传输 速度 。SCSI 硬盘 也 有 专 
门 支持 热 拔 插 技术 的 SCA2 接口 〈80-pin) ， 与 SCSI 背 板 配合 使 用 ， 就 可 以 轻松 实现 硬 
盘 的 热 拔 插 。 目 前 在 工作 组 和 部 门 级 服务 器 中 ， 热 插 拔 功能 几乎 是 必 备 的 。SCSI 性 能 参 
数 如 表 3-1 所 示 。 

与 ATA 硬盘 相 比 ，SCSI 体现 出 了 更 适合 中 、 高 端 存储 应 用 的 技术 优势 。 

(1) SCSI 相对 于 ATA 硬盘 的 接口 支持 数量 更 多 。ATA 硬盘 采用 IDE 插 槽 与 系统 连 
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接 ， 而 每 个 IDE 插 模 即 占用 一 个 耻 Q (中 断 号 ) ， 而 每 两 个 IDE 设备 就 要 占用 一 个 IDE 
通道 ,虽然 附加 IDE 控制 卡 等 方式 可 以 增加 所 支持 的 IDE 设备 数量 , 但 总 共 可 连接 的 IDE 
设备 数 最 多 不 能 超过 15 个 。 而 SCSI 的 所 有 设备 只 占用 一 个 中 断 号 ， 因 此 它 支 持 的 磁盘 
扩容 量 要 比 ATA 多 。 


表 3-1 SCSI 性 能 参数 比较 


可 连接 设备 
(不 含 接口 卡 ) 


SCSI-1 
Fast 

Wide 
Ultra(Fast-20) 
Ultra Wide 
Ultra(Fast-40) 
SCSI-3 Ultra2 

Ultra2 
Ultral60 
Ultra320 


SCSI-2 


(2) SCSI 的 带宽 更 宽 。Ultra 320 SCSI 能 支持 的 最 大 总 线 速度 为 320MBps， 虽 然 这 
只 是 理论 值 , 但 在 实际 数据 传输 率 方面 , 即使 最 快 的 ATA/SATA 硬盘 和 SCSI 硬盘 相 比 ， 
无 论 在 稳定 性 和 传输 速率 上 ， 都 有 一 定 的 差距 。 不 过 如 果 单 纯 从 速度 的 角度 来 看 ， 用 户 
未 必需 要 选择 SCSI 硬盘 ，RAID 技术 可 以 更 加 有 效 地 提高 磁盘 的 传输 速度 。 

(3) SCSI 硬盘 CPU 占用 率 低 、 并 行 处 理 能 力 强 。 虽 然 ATA/SATA 硬盘 也 能 实现 多 
用 户 同时 存 取 , 但 当 并 行 处 理 人 数 超过 一 定数 量 后 ，ATA/SATA 硬盘 就 会 暴露 出 很 大 的 
IO 缺陷 ， 传 输 速率 有 大 幅 下 降 。 同 时 ， 硬 盘 磁 头 的 来 回 摆动 ， 也 会 造成 硬盘 发 热 性 能 
不 稳定 。 

对 于 SCSI 而 言 ， 它 有 独立 的 芯片 负责 数据 处 理 ， 当 CPU 将 指令 传输 给 SCSI 后 ， 
随即 去 处 理 后 续 指 令 ， 其 他 的 相关 工作 就 交 给 SCSI 控制 芯片 来 处 理 。 当 SCSI“ 处理 器 ” 
处 理 完毕 后 ， 再 次 发 送 控制 信息 给 CPU，CPU 再 接着 进行 后 续 工 作 ， 因 此 SCSI 系统 对 
CPU 的 占用 率 很 低 ， 而 且 SCSI 硬盘 允许 一 个 用 户 对 其 进行 数据 传输 的 同时 ， 另 一 位 用 
户 同时 对 其 进行 数据 查找 ， 这 是 SCSI 硬盘 并 行 处 理 能 力 的 体现 。 

SCSI 硬盘 较 贵 ， 但 其 品质 性 能 更 高 ， 其 独特 的 技术 优势 保障 SCSI 一 直 在 中 端 存 储 
市 场 占据 主导 地 位 。 普 通 的 ATA 硬盘 转速 是 5400 或 者 7200 RPM; SCSI 硬盘 是 10k 或 
者 15k RPM，SCSI 硬盘 的 平均 无 故障 时 间 达 到 1 200 000 小 时 。 另 外 ， 下 一 代 SCSI 技 
术 SAS 的 诞生 ， 则 更 好 地 兼容 了 性 能 和 价格 双重 优势 。 
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早期 因为 SCSI 接口 卡 和 设备 昂贵 ， 并 且 几 乎 各 种 外 设 都 有 较 便 宜 的 接口 可 蔡 代 ， 
SCSI 并 未 受到 青睐 ， 可 用 的 SCSI 设备 不 多 。 反 观 今 天 ， 支 持 SCSI 接口 的 外 设 产品 从 
原本 仅 有 硬盘 、 磁 带 机 两 种 ， 增 加 到 扫描 仪 、 光 驱 、 刻 录 机 和 MO 等 各 种 设备 。 再 加 上 
制造 技术 的 进步 ，SCSI 卡 与 外 设 的 价格 下 降幅 度 较 大 ， 显 示 SCSI 市 场 已 经 相当 成 熟 。 

3. SCSI 控制 卡 

SCSI 卡 是 一 种 提供 一 个 或 一 个 以 上 一 个 接口 通过 电缆 可 连接 15 个 SCSI 设备 ) 
的 SCSI 接口 内 置 板 卡 ， 它 可 插 在 服务 器 (或 其 他 设备 ) 主板 上 的 普通 PCI (或 服务 器 上 
的 PCI-X) 插 模 上 ， 实 现 多 个 SCSI 接口 的 提供 ， 以 方便 多 个 SCSI 外 设 的 连接 。SCSI 
控制 器 接口 通常 有 50 针 、68 针 和 80 针 之 分 ， 常 用 的 是 50 针 和 68 针 。SCSI 卡 的 出 现 
解决 了 如 下 两 方面 的 问题 。 

(1) 使 原来 在 主板 中 没有 提供 SCSI 接口 的 服务 器 (或 PC) 通过 普通 的 PCI 插 槽 连 
接 SCSI 接口 的 硬盘 或 其 他 外 设 。 

(2) 扩展 了 SCSI 接口 数量 。 


3.2.2 ”独立 磁盘 元 余 阵 列 


1. 磁盘 阵列 的 特点 

RAID (Redundant Array of Independent Disks， 独 立 磁盘 见 余 阵列 ) 有 时 也 简称 磁盘 
阵列 (disk array)。 磁 盘 阵 列 是 由 一 个 硬盘 控制 器 来 控制 多 个 硬盘 的 相互 连接 , 使 多 个 硬 
得 的 读 写 同步 ， 减 少 错误 ， 增 加 效率 和 可 靠 度 的 技术 。 而 把 这 种 技术 加 以 实现 的 就 是 磁 
盘 阵 列 产品 ， 通 常 的 物理 形式 就 是 一 个 长 方 体内 容纳 了 若干 个 硬盘 等 设备 ， 以 一 定 的 组 
织 形式 提供 不 同 级 别 的 服务 。 

简单 地 说 ，RAID 是 一 种 把 多 块 独立 的 硬盘 〈 物 理 硬盘 〉 按 不 同 的 方式 组 合 起 来 形 
成 一 个 硬盘 组 (人 逻辑 硬盘 )， 从 而 提供 比 单个 硬盘 更 高 的 存储 性 能 和 提供 数据 备份 技术 。 
组 成 磁盘 阵列 的 不 同方 式 称 为 RAID 级 别 (RAID Levels)。 数 据 备份 的 功能 是 在 用 户 数 
据 一 旦 发 生 损坏 后 ， 利 用 备份 信息 可 以 使 损坏 数据 得 以 恢复 ， 从 而 保障 了 用 户 数据 的 安 
全 性 。 在 用 户 看 来 ,组 成 的 磁盘 组 就 像 是 一 个 硬盘 ， 用 户 可 以 对 它 进行 分 区 、 格 式 化 等 。 
总 之 ， 对 磁盘 阵列 的 操作 与 单个 硬盘 一 样 。 不 同 的 是 ， 磁 盘 阵列 的 存储 速度 要 比 单个 硬 
盘 高 很 多 ， 而 且 可 以 提供 自动 数据 备份 。 

RAID 技术 的 两 大 特点 : 一 是 速度 ; 二 是 安全 。 由 于 这 两 项 优点 ，RAID 技术 早期 被 
应 用 于 高 级 服务 器 中 SCSI 接口 的 硬盘 系统 中 ， 随 着 近年 计算 机 技术 的 发 展 ，PC 的 CPU 
速度 已 进入 GHz 时 代 。IDE 接口 的 硬盘 也 不 甘 落后 ， 相 继 推出 了 AIA66 和 AIA100 硬 
盘 。 这 就 使 得 RAID 技术 被 应 用 于 中 低档 甚至 PC 上 成 为 可 能 。 RAID 通常 是 由 在 硬盘 阵 
列 塔 中 的 RAID 控制 器 或 计算 机 中 的 RAID 卡 来 实现 的 。 

2. RAID 技术 分 类 

磁盘 阵列 分 为 全 软 阵列 〈software raid)、 半 软 半 硬 阵列 和 全 硬 阵列 (hardware raid) 
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三 种 。 

(1) 全 软 阵 列 。 就 是 指 RAID 的 所 有 功能 都 是 由 操作 系统 与 CPU 来 完成 ， 没 有 第 三 
方 的 控制 /处 理 芯 片 ， 即 业界 称 其 为 RAID 协 处 理 器 (RAID Co-Processor) 与 VO 处 理 蕊 
片 。 这 样 ， 有 关 RAID 的 所 有 任务 的 处 理 都 由 CPU 来 完成 。 显 而 易 见 ， 这 是 一 种 低 效 的 
RAID。 

(2) 半 软 半 硬 阵列 。 该 阵列 主要 缺乏 自己 的 IO 处 理 芯片 ， 所 以 这 方面 的 工作 仍 要 
由 CPU 和 驱动 程序 来 完成 。 而 且 ， 这 种 阵列 所 采用 的 RAID 控制 /处 理 芯 片 的 能 力 一 般 
都 较 弱 ， 不 能 支持 高 的 RAID 等 级 。 

(3) 全 硬 阵列 。 该 阵列 全 面具 备 了 自己 的 RAID 控制 /处 理 芯片 和 IO 处 理 芯 片 ， 甚 
至 还 有 阵列 缓存 (array buffer)。 由 于 全 硬 阵列 是 一 个 完整 的 系统 ， 所 有 需要 的 功能 均 可 
以 做 进去 。 所 以 ， 硬 阵列 所 提供 的 功能 和 性 能 均 比 软 阵列 好 。 全 硬 阵列 主要 有 两 种 方式 ， 
第 一 种 就 是 RAID 适 配 卡 , 通 过 RAID 适 配 卡 插入 PCI 插 槽 再 接 上 硬盘 实现 硬盘 的 RAID 
功能 。 第 二 种 方式 就 是 直接 在 主板 上 集成 RAID 控制 /处 理 芯片 ， 让 主板 能 直接 实现 磁盘 
RAID。 这 种 方式 成 本 低 于 专用 的 RAID 适 配 卡 。 表 3-2 是 典型 的 软 阵列 和 硬 阵列 性 能 参 
数 的 比较 。 


表 3-2 软 阵列 和 硬 阵 列 的 比较 


功 能 硬 阵列 


i ee 探测 4 位 错误 
数据 完整 性 探测 1 位 错误 标准 SCSI 总 线 ) 修正 1 位 错误 
基本 上 与 操作 系统 无 关 ， 至 于 RAID 等 级 
Raid 等 级 Raid0 和 Raid 1 要 看 厂商 提供 相应 硬件 功能 、 驱 动 和 应 用 
软件 


重建 优先 级 不 可 以 低 /中 /高 

可 启动 阵列 不 可 以 可 以 

错误 报告 SNMP 过 滤 硬 盘 事件 ， 用 通用 的 系 | SNMP 用 通用 的 系统 标志 报告 ,同时 采用 

统 标志 报告 彩色 代码 发 出 警告 和 E-mail 通告 

对 服务 器 、 网 络 、 无 RAID 存储 空间 进行 

预防 性 维护 不 可 以 轮流 检测 ， 安 排 阵列 校 验 。 对 备用 硬盘 测 
试 、 磁 盘 重 建 

SMART 技 术 可 以 可 以 

操作 系统 支持 一 般 Windows 2k/XP 或 Linux 几乎 所 有 的 操作 系统 

性 能 高 

成 本 较 高 
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3. RAID 的 基本 工作 模式 

RAID 技术 经 过 不 断 的 发 展 ， 现 在 已 拥有 了 从 RAID 0 到 6 这 7 种 基本 的 RAID 级 
别 。 另 外 ， 还 有 一 些 基 本 RAID 级 别 的 组 合 形式 ， 如 RAID 10 (RAID 0 与 RAID 1 的 组 
合 )、RAID 50 (RAID 0 与 RAID 5 的 组 合 ) 等 。 不同 RAID 级 别 代 表 着 不 同 的 存储 性 
能 、 数 据 安全 性 和 存储 成 本 。 最 为 常用 的 是 下 面 的 几 种 RAID 形式 。 

1) RAIDO 

RAID 0 又 称 为 Stripe (条 带 化 ) 或 Striping, 它 代表 了 所 有 RAID 级 别 中 最 高 的 存储 
性 能 。 RAID 0 提高 存储 性 能 的 原理 是 把 连续 的 数据 分 散 到 多 个 磁盘 上 存 取 ， 这 样 ， 系 统 
有 数据 请 求 就 可 以 被 多 个 磁盘 并 行 地 执行 ,每 个 磁盘 执行 属于 它 自 己 的 那 部 分 数据 请 求 。 
这 种 数据 上 的 并 行 操作 可 以 充分 利用 总 线 的 带宽 ， 显 著 提高 磁盘 整体 存 取 性 能 。 


| D3 D4 ] | D5 ] 
DO DI D2 


3-1 RAID 0 原理 图 


如 图 3-1 所 示 ， 系 统 向 三 个 磁盘 组 成 的 逻辑 硬盘 RAID 0 磁盘 组 ) 发 出 的 IO 数据 
请 求 被 转化 为 三 项 操作 ， 其 中 的 每 一 项 操作 都 对 应 于 一 块 物理 硬盘 。 从 图 中 可 以 清楚 地 
看 到 ,通过 建立 RAID 0,， 原先 顺序 的 数据 请 求 被 分 散 到 所 有 的 三 块 硬盘 中 同时 执行 。 从 
理论 上 讲 , 三 块 硬盘 的 并 行 操作 使 同一 时 间 内 磁盘 读 写 速度 提升 了 3 倍 。 但 由 于 总 线 带 
宽 等 多 种 因素 的 影响 ， 实 际 的 提升 速率 肯定 会 低 于 理论 值 ， 但 是 ， 大 量 数据 并 行 传输 与 
串 行 传输 比较 ， 提 速效 果 显 著 显然 毋庸 置疑 。 

RAID 0 的 缺点 是 不 提供 数据 元 余 , 因此 一 旦 数据 损坏 ,损坏 的 数据 将 无 法 得 到 恢复 。 
RAID 0 具有 的 特点 , 使 其 特别 适用 于 对 性 能 要 求 较 高 ， 而 对 数据 安全 要 求 低 的 领域 , 如 
图 形 工 作 站 等 。 对 于 个 人 用 户 ，RAID 0 也 是 提高 硬盘 存储 性 能 的 绝 佳 选择 。 

2) RAID 1 

RAID 1 又 称 为 Mirror 或 Mirroring (镜像 ), 它 的 宗旨 是 最 大 限度 地 保证 用 户 数据 的 
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可 用 性 和 可 修复 性 .RAID 1 的 操作 方式 是 把 用 户 写 入 硬盘 的 数据 百分之百 地 自动 复制 到 
另外 一 个 硬盘 上 。 

如 图 3-2 所 示 ， 当 读 取 数据 时 ， 系 统 先 从 RAID 0 的 源 盘 读 取 数据 ， 如 果 读 取 数 据 
成 功 ， 则 系统 不 去 管 备份 盘 上 的 数据 ; 如 果 读 取 源 盘 数 据 失败 ， 则 系统 自动 转 而 读 取 备 
份 盘 上 的 数据 ， 不 会 造成 用 户 工作 任务 的 中 断 。 当 然 ， 应 当 及 时 地 更 换 损坏 的 硬盘 并 利 
用 备份 数据 重新 建立 Mirror， 避 免 备份 盘 在 发 生 损 坏 时 造成 不 可 挽回 的 数据 损失 。 


图 3-2 RAID 1 原理 图 


由 于 对 存储 的 数据 进行 完全 的 备份 , 在 所 有 RAID 级 别 中 , RAID 1 提供 最 高 的 数据 
安全 保障 。 同 样 ， 由 于 数据 的 完全 备份 ， 备 份 数据 占 了 总 存储 空间 的 一 半 ， 因 而 Mirror 
的 磁盘 空间 利用 率 低 ， 存 储 成 本 高 。 

Mirror 虽 不 能 提高 存储 性 能 ， 但 由 于 其 具有 的 高 数据 安全 性 ， 使 其 尤其 适用 于 存放 
重要 数据 ， 如 服务 器 和 数据 库存 储 等 领域 。 

3) RAID 3 

RAID 3 是 把 数据 分 成 多 个 “ 块 ” 按照 一 定 的 容错 算法 存放 在 N+1 个 硬盘 上 ， 实 际 
数据 占用 的 有 效 空间 为 Y 个 硬盘 的 空间 总 和 , 而 第 N+1 个 硬盘 上 存储 的 数据 是 校 验 容错 
信息 , 当 这 N+1 个 硬盘 中 的 一 个 硬盘 出 现 故 障 时 ,从 其 他 个 硬盘 中 的 数据 也 可 以 恢复 
原始 数据 。 这 样 ， 仅 使 用 这 个 硬盘 也 可 以 带 伤 继续 工作 (如 采集 和 回放 素材 )， 当 更 
换 一 个 新 硬盘 后 ， 系 统 可 以 重新 恢复 完整 的 校 验 容错 信息 。 由 于 在 一 个 硬盘 阵列 中 ， 多 
于 一 个 硬盘 同时 出 现 故 障 率 的 几率 很 小 ,所 以 一 般 情 况 下 ， 使 用 RAID 3， 安 全 性 是 可 以 
得 到 保障 的 。 与 RAID 0 相 比 ，RAID 3 在 读 写 速度 方面 相对 较 慢 。 使 用 的 容错 算法 和 分 
块 大 小 决定 RAID 使 用 的 应 用 场合 , 在 通常 情况 下 , RAID 3 比较 适合 大 文件 类 型 且 安 全 
性 要 求 较 高 的 应 用 ， 如 视频 编辑 、 硬 盘 播 出 机 和 大 型 数据 库 等 ， 如 图 3-3 所 示 。 

4) RAID 5 

RAID 5 是 一 种 存储 性 能 、 数据 安全 和 存储 成 本 兼顾 的 存储 解决 方案 。 以 4 个 硬盘 组 
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成 的 RAID 5 为 例 ， 其 数据 存储 方式 如 图 3-4 所 示 。 图 中 ，P0 为 D0、D1 和 D2 的 奇偶 
校 验 信息 ， 其 他 依 此 类 推 。 从 图 中 可 以 看 出 ，RAID 5 不 对 存储 的 数据 进行 备份 ， 而 是 把 
数据 和 相对 应 的 奇偶 校 验 信息 存储 到 组 成 RAID 5 的 各 个 磁盘 上 ， 并 且 奇 偶 校 验 信 息 和 
相对 应 的 数据 分 别 存储 于 不 同 的 磁盘 上 。 当 RAID 5 的 一 个 磁盘 数据 发 生 损坏 后 ， 利 用 
剩 下 的 数据 和 相应 的 奇偶 校 验 信息 去 恢复 被 损坏 的 数据 。 


Disk 0 Disk 1 
| | | 
| Pp3 | D9 | 
| D6 | P2 | 
| D3 D4 ] 

D0 Dl 


图 3-4 RAID 5 原理 图 
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RAID 5 可 以 理解 为 是 RAID 0 和 RAID 1 的 折衷 方 案 。RAID 5 可 以 为 系统 提供 数据 
安全 保障 ， 但 保障 程度 要 比 Mirror 低 而 磁盘 空间 利用 率 要 比 Mirror 高 。RAID 5 具有 和 
RAID 0 相近 似 的 数据 读 取 速 度 , 只 是 多 了 一 个 奇偶 校 验 信息 , 写 入 数据 的 速度 比 对 单个 
磁盘 进行 写 入 操作 稍 慢 。 同 时 ， 由 于 多 个 数据 对 应 一 个 奇偶 校 验 信息 ，RAID 5 的 磁盘 空 
间 利 用 率 要 比 RAID 1 高 ， 存 储 成 本 相对 较 低 。 

5) RAID 0+1 

正如 其 名 字 一 样 ，RAID 0+1 是 RAID 0 和 RAID 1 的 组 合 形式 ， 也 称 为 RAID 10。 
以 4 个 磁盘 组 成 的 RAID 0+1 为 例 ， 其 数据 存储 方式 如 图 3-5 所 示 。RAID 0+1 是 存储 性 
能 和 数据 安全 兼顾 的 方案 ， 它 在 提供 与 RAID 1 一 样 的 数据 安全 保障 的 同时 ， 也 提供 了 
与 RAID 0 近似 的 存储 性 能 。 


图 3-5 RAID 0+1 原理 图 


由 于 RAID 0+1 也 通过 数据 的 100% 备 份 功能 提供 数据 安全 保障 ， 因 此 RAID 0+1 的 
磁盘 空间 利用 率 与 RAID 1 相同 ， 存 储 成 本 高 。RAID 0+1 的 特点 使 其 特别 适用 于 既 有 大 
量 数 据 需 要 存 取 ， 同 时 又 对 数据 安全 性 要 求 严格 的 领域 ， 如 银行 、 金 融 、 商 业 超 市 、 仓 
储 库房 和 各 种 档案 管理 等 。 

4. RAID 级 别 的 选择 

RAID 级 别 的 选择 有 三 个 主要 因素 : 可 用 性 〈 数 据 元 余 )、 性 能 和 成 本 。 如 果 不 要 求 
可 用 性 ， 选 择 RAID 0 以 获得 最 佳 性 能 。 如 果 可 用 性 和 性 能 是 重要 的 而 成 本 不 是 一 个 主 
要 因素 ， 则 根据 硬盘 数量 选择 RAID 1。 如 果 可 用 性 、 成 本 和 性 能 都 同样 重要 ， 则 根据 一 
般 的 数据 传输 和 硬盘 的 数量 选择 RAID 3 或 RAID 5。 关 于 RAID 级 别 的 描述 ,请 见 表 3-3。 
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表 3-3 RAID 级 别 性 能 比较 


RAID3 RAID5 

专用 奇偶 位 条 带 人 
有 并 

奇偶 校 验 奇偶 校 验 


至 三 


(n-1)/n 的 磁盘 容 | (n-1)/n 的 磁盘 
量 ， 其 中 为 磁 | 容量 ， 其 中 7 
盘 数 为 磁盘 数 


连续 数据 传输 ， 
要 求 安全 性 高 ， 
如 视频 编 缉 、 大 
型 数据 库 等 


RAID 10 


镜像 阵列 条 带 


宛 余 类 型 没有 
热 备 盘 选 项 
读 性 能 高 
随机 写 性 能 | 高 
连续 写 性 能 


个 台 
需要 的 磁盘 1 个 或 多 个 只 需 2 个 或 


只 需 4 个 或 
2N 个 


只 能 用 磁盘 容量 
的 50% 


要 求 数据 量 大 ， 
安全 性 高 ， 如 银 
行 、 金 融 等 领域 


速 读 写 ， 要 
典型 应 用 求 安全 性 不 
高 ， 如 图 形 


3.2.3 ”磁带 库 


1. 备份 设备 类 型 

在 选择 备份 设备 时 ， 根 据 备份 数据 量 的 大 小 、 对 备份 速度 的 要 求 、 对 自动 化 程度 的 
要 求 等 ， 用 户 可 以 选择 不 同 档次 的 设备 。 备 份 设备 主要 分 为 磁带 机 、 自 动 加 载 机 和 磁带 
库 ， 而 磁带 库 又 分 为 入 门 级 、 企 业 级 和 超大 容量 等 几 个 级 别 。 

磁带 机 又 称 磁带 驱动 器 ， 简 称 带 机 ， 是 读 写 磁带 的 基本 设备 。 它 通过 SCSI 线 线 与 
服务 器 直 连 ， 相 当 于 服务 器 的 外 设 ， 分 为 内 置 和 外 置 两 种 。 一 台 带 机 一 次 只 能 容纳 一 盘 
磁带 ， 需 要 人 工 换 带 ， 自 动 化 程度 低 。 一 般 只 用 于 单 台 服 务 器 备份 ， 适 合 于 数据 量 非常 
小 的 企业 。 

如 果 企 业 希 望 通过 预先 制定 的 备份 策略 ， 实 现 备份 过 程 和 备份 介质 的 自动 化 管理 ， 
减少 系统 管理 的 工作 量 ， 则 需要 购买 能 够 容纳 多 盘 磁 带 的 设备 ， 即 自动 加 载 机 或 带 库 。 
自动 加 载 机 内 一 般 能 够 容纳 4 一 20 盘 磁 带 。 它 与 带 库 的 主要 区 别 在 于 不 是 通过 机 械 手 抓 
取 磁 带 ， 而 是 通过 一 个 简单 的 自动 传送 装置 移动 磁带 ， 并 且 只 能 配 一 台 磁 带 驱 动 器 。 因 
此 实现 成 本 较 低 ， 但 功能 也 受到 限制 。 它 虽然 能 够 支持 自动 备份 ， 但 仍然 属于 低 端 的 备 
份 设备 ， 适 合 于 单 台 服务 器 或 小 型 网 络 。 
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磁带 库 〈 简 称 带 库 ) 是 专业 的 备份 设备 ， 它 主要 由 库 体 、 磁 带 驱动 器 、 磁 带 槽 位 、 
磁带 交换 口 、 控 制 面板 、 机 械 手 和 电子 控制 单元 组 成 。 库 体内 的 大 部 分 空间 用 于 放置 磁 
带 ， 一 台 或 多 台 驱 动 器 安装 在 库 体 内 专门 的 位 置 ， 用 于 读 写 磁带 。 带 库 工 作 时 ， 机 械 手 
在 管理 软件 和 电子 控制 单元 的 控制 下 移动 ， 通 过 安装 在 机 械 臂 上 的 条 码 读 取 器 寻找 相应 
的 磁带 ， 然 后 将 其 抓 取 到 驱动 器 内 ， 读 或 写 操作 完成 后 ， 再 由 机 械 手 将 磁带 取出 ， 放 回 
磁带 槽 位 。 

由 于 带 库 内 可 安装 多 个 驱动 器 ， 因 此 能 够 支持 并 发 的 多 任务 ; 对 于 一 个 大 的 备份 任 
务 ， 也 可 以 分 配 到 多 个 驱动 器 上 并 行 读 / 写 ， 从 而 大 大 提高 备份 效率 ， 有 效 地 缩小 备份 窗 
口 。 当 然 ， 这 些 功 能 需要 备份 管理 软件 的 支持 。 

一 般 具 有 几 十 个 磁带 槽 位 的 带 库 属于 入 门 级 ， 几 百 个 槽 位 的 属于 企业 级 ， 几 千 个 模 
位 的 则 属于 超大 容量 带 库 。 企 业 级 以 上 的 带 库 还 支持 一 些 复杂 的 功能 ， 如 分 区 管理 、 磁 
带 混 装 和 级 联 扩展 等 。 另 外 ， 随 着 SAN 技术 和 LAN-free 备份 方式 的 推广 ， 越 来 越 多 的 
企业 将 带 库 连接 到 SAN 上 作为 共享 的 存储 资源 。 因此 , 带 库 厂商 也 非常 重视 带 库 对 SAN 
的 支持 ， 很 多 企业 级 带 库 不 仅 提供 光纤 通道 接口 ， 还 增加 了 SAN 环境 下 的 管理 功能 。 

2. 磁带 驱动 技术 

磁带 驱动 技术 是 指 磁带 驱动 器 遵循 的 标准 ， 它 规定 了 数据 格式 、 记 录 方 式 、 定 位 方 
式 、 走 带路 径 、 校 验方 式 、 压 缩 算法 、 介 质 尺 寸 、 介 质 生产 工艺 以 及 驱动 器 的 接口 标准 
等 。 在 驱动 器 和 磁带 的 生产 过 程 中 ， 都 必须 遵从 某 一 种 驱动 技术 的 标准 。 只 有 采用 相同 
标准 生产 出 来 的 驱动 器 和 磁带 才能 一 起 工作 。 

每 个 磁带 驱动 器 都 对 应 着 某 种 特定 的 磁带 驱动 技术 , 例如 ，Sony AIT 磁带 机 采用 的 
就 是 AIT 技术 ， 而 Quantum 的 DLT 磁带 机 采用 的 是 DLT 技术 。 但 是 ,磁带 库 本 身 与 磁 
带 驱动 技术 则 没有 任何 必然 的 联系 ,也 就 是 说 一 台 带 库 可 以 支持 多 种 不 同 的 磁带 驱动 器 ， 
甚至 可 以 支持 混 装 。 带 库 能 够 支持 多 少 种 驱动 技术 ， 反 映 了 它 的 开放 性 。 一 般 来 说 ， 企 
业 信 息 系统 都 非常 注重 开放 性 ， 防 止 在 系统 扩展 时 受到 某 种 技术 和 产品 的 限制 。 但 是 在 
一 些 特 殊 领 域 ， 则 可 能 由 于 行业 特点 或 行业 习惯 一 直 沿用 某 种 产品 ， 而 不 是 非常 重视 开 
放 性 


目前 主流 的 磁带 驱动 技术 包括 Quantum 公司 的 DLT 和 SuperDLT，IBM、HP 和 
Seagate 共同 制定 的 LIO，STK 的 9840、9940，IBM 的 3590，Exabyte 的 Mammoth-2， 
Sony 的 AIT-2、AIT-3、DTF、DTF-2 等 。 

磁带 驱动 技术 最 主要 的 指标 是 数据 传输 率 和 单 盘 容 量 ， 因 为 这 直接 关系 到 做 一 次 备 
份 所 需 的 时 间 和 介质 数量 。 查 看 这 两 个 指标 时 要 注意 区 分 厂家 给 出 的 数值 是 未 压缩 模式 
下 的 , 还 是 在 2 : 1 或 更 高 压缩 比 下 的 。 另 外 ,还 要 注意 区 分 峰值 数据 传输 率 和 持续 数据 
传输 率 的 不 同 ， 峰 值 传输 率 是 指 瞬间 可 达 的 最 大 传输 率 ， 它 不 能 反映 带 机 的 整体 性 能 ， 
用 户 真 正 应 该 关心 的 是 持续 传输 率 。 反 映 带 机 性 能 的 另 一 个 指标 是 载 入 时 间 ， 是 指 将 一 
盘 磁 带 插入 带 机 、 至 带 机 准备 好 、 再 到 可 进行 读 写 操作 所 需 的 时 间 ， 一 般 为 几 秒 到 几 十 
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秒 。 相 对 于 备份 任务 所 需 的 全 部 时 间 ， 载 入 时 间 是 非常 微不足道 的 。 但 当 带 库 用 于 数据 
迁移 (storage migration) 系统 时 ， 由 于 需要 频繁 交换 磁带 ， 带 机 的 载 入 时 间 长 短 就 比较 
要 了 。 

除了 容量 和 性 能 外 ， 一 般 用 户 比 较 关 心 的 要 算 可 靠 性 了 ， 特 别 是 对 那些 需要 带 机 高 
负荷 工作 的 系统 ， 可 靠 性 就 更 为 重要 。 衡 量 可 靠 性 的 一 个 最 常用 指标 是 MTBF (平均 无 
故障 时 间 ) ， 它 是 指 带 机 在 出 现 故障 之 前 平均 的 正常 工作 时 间 。 这 一 指标 并 不 是 通过 实 
测 得 到 的 ， 而 是 综合 了 影响 带 机 运作 的 各 种 因素 ， 以 一 定 的 公式 计算 得 出 。 目 前 主流 的 
驱动 技术 其 MTBF 都 可 达到 十 几 万 到 几 十 万 小 时 。 带 机 内 部 的 稳定 性 ， 与 磁头 设计 、 走 
带路 径 造 成 的 张力 和 磨损 等 因素 有 关 。 表 3-4 简单 对 比 了 几 种 主流 磁带 驱动 技术 。 


表 3-4 主流 磁带 驱动 技术 指标 


单 盘 容量 (GB) | ”持续 传输 率 (MBps) 介质 类 型 | 介质 寿命 (年 ) 
15 


LTO 100 30 
SuperDLT | 10 | 1 |p | ap | > 
9940 60 | 1 1 久 | 15~30 
3590 20/40/60 15~30 
AIT3 100 >30 


由 


DTF-2 200/60 螺旋 扫描 >30 
Mammoth-2 60 螺旋 扫描 30 


3. 带 机 、 带 库 厂商 及 产品 

备份 设备 的 生产 厂家 很 多 ， 每 个 厂家 都 有 着 较 长 的 产品 线 。 这 里 主要 介绍 那些 国际 
知名 的 、 国 内 有 影响 力 的 带 机 和 带 库 厂商 及 其 主打 产品 。 

目前 ， 带 机 正在 朝 快 的 数据 传输 速度 和 高 的 单 盘 磁带 存储 容量 方向 发 展 ， 具 有 主流 
驱动 技术 的 带 机 厂商 包括 Quantum、Exabyte 和 Sony 等 。 

Quantum 带 机 在 中 档 产品 中 占据 了 市 场 大 部 分 份额 ， 但 其 中 很 大 一 部 分 走 了 OEM 
的 销售 渠道 。 其 自动 加 载 机 SuperLoader 可 将 多 个 备份 目标 集中 到 一 个 共享 的 自动 系统 
中 ， 降 低 处 理 成 本 ， 而 基于 磁盘 〈 备 份 介质 是 磁盘 ) 又 具有 磁带 海量 特性 的 近 线 备份 设 
备 DX30 可 显著 缩短 备份 与 恢复 时 间 。 

Exabyte 的 磁带 驱动 技术 包括 3mm Mammoth 和 VXA 技术 ，VXA 是 定位 低 端 的 新 
的 磁带 技术 ， 它 以 包 的 格式 读 写 数据 ， 并 可 对 磁带 上 的 数据 记录 区 进行 无 空隙 扫描 ， 具 
有 高 质量 、 高 可 靠 性 、 低 成 本 等 性 能 特点 。 其 中 ，VXA-1 带 机 是 专 为 苹果 机 设计 的 存储 
方案 ，VXA-2 同样 具有 较 高 的 性 价 比 ， 并 具有 12MBps 的 传输 速率 及 160GB 的 容量 ， 
与 VXA-1 向 下 兼容 。 

Sony 的 基于 AIT 技术 的 带 机 产品 : AIT-1、AIT-2 和 AIT3， 其 中 AIT3 是 高 性 能 和 
大 容量 的 新 存储 方案 ， 容 量 〈 未 压缩 ) 为 100GB， 速 率 为 12MBps， 而 且 能 够 与 AIT-1、 
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AIT-2 完全 读 和 写 道 向 兼容 ， 并 具有 分 层 磁 头 、 创 新 性 的 磁带 内 存储 器 (MIC) 驱动 器 
接口 系统 等 多 项 专利 技术 ， 提 高 磁 轨 密度 和 存储 速度 。 

磁带 库 厂商 相对 品牌 较 多 ， 用 户 的 选择 空间 也 更 大 一 些 。 目 前 主流 的 磁带 库 厂商 主 
要 有 STK、Quantum、Exabyte 和 IBM 等 。 

在 带 库 厂商 中 ， 市 场 份额 最 大 的 当 属 SUN 公司 收购 的 美国 存储 技术 公司 (Storage- 
Tek，STK)。STK 目前 最 主要 的 产品 线 是 工 系列 ， 包 括 L20、L40、L80、L180、L700、 
L5500， 从 最 小 20 磁带 槽 位 到 最 大 5500 磁带 槽 位 。 在 其 入 门 级 产品 上 , 支持 LTO、DLT 
和 SuperDLT 等 开放 技术 ， 只 有 在 高 端 产 品 上 才 同 时 支持 其 自身 拥有 的 9840、9940 驱动 
技术 。 

Quantum 拥有 DLT、SuperDLT 技术 ， 其 用 户 基础 和 发 展 前 景 都 很 好 。 其 P 系列 的 
主打 产品 P4000 和 P7000 分 别 可 以 支持 几 百 槽 位 和 十 几 个 驱动 器 ， 适 合 于 企业 级 用 户 ; 
M 系列 是 模块 化 的 产品 , 可 根据 用 户 系统 需求 的 增长 灵活 扩展 带 库 的 容量 和 性 能 , M1500 
可 从 20 覃 位 扩展 到 200 槽 位 ，M2500 则 可 从 100 槽 位 扩展 到 300 槽 位 ， 非 常 适 合 于 那 
些 快速 发 展 的 中 小 企业 。 美 中 不 足 的 是 ，AIL 对 超大 容量 的 解决 方案 不 是 非常 理想 ， 在 
这 一 部 分 市 场 上 的 竞争 力 较 弱 。 

8mm 是 安 百 特 〈Exabyte) 公司 的 独立 技术 ， 具 有 速度 快 、 容 量 大 、 可 靠 性 高 、 价 
廉 、 体 积 小 等 特点 ， 主 要 用 于 带 库 ， 其 8mm 带 库 的 智能 机 械 辟 系统 可 任意 存 取 磁带 ， 
采用 模块 化 设计 ， 产 品 线 全 ， 从 VXA 自动 化 /驱动 器 产品 系列 AutoPak230/115/110、 
VXA-1/1 到 Mammoth Tape 自动 化 /驱动 器 产品 系列 X200/80/430M/215M/EZ17、 
M2/Mammoth/Eliant 820， 容 量 从 单 盘 〈 非 压缩 ) 33GB 到 整 库 12TB, 涵盖 由 低 到 高 的 用 
户 市 场 ， 可 实现 无 人 值守 自动 数据 存储 管理 ， 适 用 于 服务 器 备份 、 网 络 备份 、 自 动 归档 、 
分 级 存储 管理 及 图 形 图 像 等 领域 。 

IBM 的 带 库 和 带 机 产品 大 体 可 分 两 个 系列 : 用 于 IBM 环境 的 和 用 于 开放 环境 的 。 
如 IBM 的 3494、3575 等 带 库 只 支持 其 专用 的 驱动 器 ， 开 放 性 差 ， 虽然 这 些 带 库 产品 也 
支持 HP、SUN 等 主流 服务 器 平台 ， 但 实际 上 几乎 只 用 在 IBM 环境 中 。 随 着 SAN 技术 
的 普及 , 追求 开放 性 和 互联 性 成 为 存储 行业 的 潮流 。 结合 LTO 驱动 技术 的 投产 , IBM 为 
其 开放 存储 系统 解决 方案 推出 了 新 的 带 库 系列 3583 和 3584。 表 3-5 列 出 了 上 述 带 库 生 
产 厂家 部 分 产品 的 参数 。 


表 3-5 主流 带 库 产品 参数 表 


10、20 

20、40 DLT8000 
40、60、80 SDLT 

174 LTO Ultium 
678、1344 9840、9940 


L5500 5500 ( 单 台 ) Pini 
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续 表 

厂 家 | 产品 型 号 是 否 可 级 联 
M1500 是 
M2500 100 一 300(3 模块 ) 和 是 
wm P4000 171 一 322 ( 单 台 ) ed . 是 

LTO Ultrium 

P7000 399 一 679 〈 单 台 ) 是 
3583 绚 否 
IBM | 3584 2481 (6 模块) | i 交 
3494 160~6240 3490e、3590 是 


X200 

X80 
Exabyte Pe 

215M 


4. 产品 选 购 指南 

当真 的 准备 建设 备份 系统 、 购 买 备份 设备 时 ， 需 要 考虑 和 考查 哪些 问题 呢 ? 

首先 ， 要 选择 符合 应 用 特点 的 驱动 技术 。 前 面 已 经 介绍 过 比较 驱动 技术 时 主要 考虑 
哪些 方面 ， 但 事实 上 每 种 技术 都 有 它 的 特点 和 优点 ， 不 是 通过 简单 的 参数 对 比 就 能 比 出 
高 下 的 。 真 正 需要 采购 时 还 是 要 结合 实际 需求 ， 根 据 应 用 特点 确定 驱动 技术 的 哪 一 项 或 
哪 几 项 指标 比较 重要 。 例 如 ， 对 于 备份 和 归档 的 数据 量 非常 大 的 应 用 系统 而 言 ， 选 用 单 
盘 容 量 大 的 磁带 驱动 技术 ， 从 长 远 角 度 看 是 可 以 有 效 降低 介质 成 本 和 管理 成 本 的 ， 而 对 
于 需要 时 常 访问 归档 数据 的 信息 系统 ， 则 应 注重 驱动 器 的 载 入 时 间 和 读 写 速度 ， 从 而 有 
效 降低 用 户 的 等 待 时 间 。 另 外 ， 在 考虑 驱动 技术 自身 特性 的 同时 ， 要 考虑 其 成 熟 性 和 发 
展 性 。 

选 定 驱动 技术 之 后 ， 就 可 以 根据 需要 备份 的 数据 量 、 信 息 系统 对 备份 窗口 的 要 求 以 
及 采用 何 种 备份 策略 等 因素 ， 确 定 所 需 带 库 的 容量 和 备份 速度 ， 从 而 基本 确定 可 供 选择 
产品 的 范围 。 从 备 选 产品 中 进行 第 二 轮 筛选 ， 则 要 具体 分 析 每 个 产品 的 功能 和 特点 ， 看 
它 是 否 具备 某 项 需要 的 功能 ， 是 否 有 某 项 缺点 恰好 影响 使 用 。 例 如 ， 某 大 型 企业 网 上 运 
行 着 多 个 应 用 系统 , 希望 做 集中 的 数据 存储 和 数据 备份 , 由 于 应 用 和 数据 类 型 的 多 样 化 ， 
可 能 需要 采用 不 同 的 磁带 格式 进行 备份 ， 这 时 带 库 的 分 区 管理 功能 和 对 混合 介质 的 管理 
功能 就 是 必 不 可 少 的 。 

筛选 过 后 留 下 的 产品 基本 都 能 满足 需要 ， 这 时 当然 取决 于 性 价 比 了 。 不 过 ， 在 最 后 
选 定 一 款 产 品 前 ， 一 定 记得 请 厂家 或 代理 商 核查 兼容 性 列表 ， 特 别 是 用 户 的 信息 系统 环 
境 比 较 复 杂 时 ， 要 确认 该 产品 与 原 有 的 ， 以 及 计划 增加 的 设备 及 软件 的 兼容 性 。 这 个 环 


518 网 络 规划 设计 师 教 程 


节 非 常 重 要 ， 因 为 带 库 不 是 独立 工作 的 ， 而 是 与 备份 服务 器 、 备 份 客户 端 、 备 份 管理 软 
件 共同 组 成 备份 系统 。 如 果 忽 视 了 这 个 环节 ， 可 能 会 给 系统 实施 带 来 严重 的 问题 。 

在 带 库 的 选择 过 程 中 ， 不 要 忘记 考虑 未 来 的 扩展 需求 。 信 息 系 统 是 不 断 发 展 的 ， 基 
础 设施 的 建设 也 不 可 能 一 步 到 位 。 如 果 在 设计 初期 考虑 到 带 库 的 扩容 能 力 和 功能 的 多 样 
性 ， 就 可 以 从 容 面 对 信息 系统 需求 的 发 展 和 变化 。 

S. 虚拟 磁带 库 

虚拟 磁带 库 (Virtual Tape Library，VTL) 是 使 用 磁盘 阵列 效仿 标准 磁带 库 的 一 种 新 
概念 产品 。VTL 通过 光纤 连接 到 备份 服务 器 ， 为 数据 存储 备份 提供 了 高 速 、 高 效 及 安全 
的 解决 方案 ， 极 大 地 缩短 了 数据 备份 所 需 时 间 。 更 重要 的 是 ，VTL 通过 元 余 和 热 插 拔 设 
计 保 证 了 系统 的 不 停顿 及 备份 工作 连续 运行 。 

从 目前 中 国 存储 市 场 的 现状 看 ， 大 多 数 用 户 仍 使 用 磁带 承担 备份 和 归档 的 双重 任 
务 ， 究 其 原因 ， 是 因为 磁带 远 比 磁盘 价 廉 。 但 在 使 用 常规 磁带 库 时 经 常会 被 下 列 问题 
困扰 。 

(1) 机 械 手 、 驱 动 器 、 磁 带 多 个 暴露 机 械 装置 中 任 一 单 点 故障 ， 均 会 导致 备份 失败 。 

(2) 备份 磁带 组 中 任 一 盘 磨损 、 卡 带 、 变 形 、 受 潮 等 , 均 可 能 导致 整体 备份 无 法 恢复 。 

(3) 耗 时 的 文件 查找 ， 困 扰 日 常 运营 ， 严 重 制约 IT 服务 能 力 。 

随 着 ATA、SATA 磁盘 阵列 的 出 现 ， 并 且 ATA、SATA 磁盘 的 成 本 正 逐 渐 接 近 甚 至 
低 于 磁带 ， 基 于 磁盘 的 备份 技术 正在 成 为 一 种 潮流 ， 磁 盘 有 取代 磁带 成 为 备份 主流 介质 
的 趋势 。 虽然 VIL 问世 的 时 间 不 长 ， 但 在 国外 却 是 相当 热门 的 产品 ， 从 市 场面 来 看 ， 主 
要 的 储存 设备 供 货 商都 开始 开发 VTL 产品 线 。 


3.2.4 光盘 塔 


光盘 塔 由 几 台 或 十 几 台 CD-ROM 驱动 器 并 联 构 成 ， 可 通过 软件 控制 某 台 光驱 的 读 
写 操作 。 光 盘 塔 可 以 同时 支持 几 十 个 到 几 百 个 用 户 访 问 信 息 。 

光盘 库 实际 上 是 一 种 可 存放 几 十 张 或 几 百 张 光盘 并 带 有 机 械 臂 和 一 个 光盘 驱动 器 
的 光盘 柜 。 光 盘 库 也 叫 自动 换 盘 机 ， 它 利用 机 械 手 从 机 柜 中 选 出 一 张 光盘 送 到 驱动 器 进 
行 读 写 。 它 的 库容 量 极 大 ， 机 柜 中 可 放 几 十 片 甚至 上 百 片 光盘 片 ， 这 种 有 巨大 联机 容量 
的 设备 非常 适用 于 图 书馆 一 类 的 信息 检索 中 心 ， 尤 其 是 交互 式 光盘 系统 、 数 字 化 图 书馆 
系统 、 实 时 资料 档案 中 心 系统 及 卡拉 OK 自动 点 播 系统 等 。 

光盘 网 络 镜像 服务 器 是 继 第 一 代 的 光盘 库 和 第 二 代 的 光盘 塔 之 后 ， 最 新 开发 出 的 一 
种 可 在 网 络 上 实现 光盘 信息 共享 的 网 络 存储 设备 。 光 盘 网 络 镜像 服务 器 不 仅 具 有 大 型 光 
盘 库 的 超大 存储 容量 ， 而 且 还 具有 与 硬盘 相同 的 访问 速度 ， 其 单位 存储 成 本 大 大 低 于 光 
盘 库 和 光盘 塔 。 代 表 产 品 有 清华 同方 光盘 镜像 服务 器 。 

在 网 络 海量 存储 备份 系统 中 ， 磁 盘 阵 列 、 磁 带 库 和 光盘 库 等 存储 设备 因 其 信息 存储 
特点 的 不 同 ， 应 用 环境 也 有 较 大 区 别 。 磁 盘 阵 列 主要 用 于 网 络 系统 中 的 海量 数据 的 即时 
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存 取 ; 磁带 库 更 多 的 是 用 于 网 络 系统 中 的 海量 数据 的 定期 备份 ， 光 盘 库 则 主要 用 于 网 络 
系统 中 的 海量 数据 的 访问 。 光 盘 库 的 优点 是 能 按 需 求 保存 数据 ， 且 保存 的 数据 具 可 移动 
性 。 缺 点 是 光盘 容量 非常 有 限 及 购买 光盘 的 花费 大 ， 刻 录 机 寿命 不 长 ， 人 工 操 作 ， 而 且 
光盘 易 丢 失 损坏 。 


3.2.5 DAS 技术 


DAS (Direct Attached Storage， 直 接 附加 存储 ) 即 直 连 方式 存储 。 在 这 种 方式 中 ， 
存储 设备 是 通过 电缆 (通常 是 SCSI 接口 电缆 ) 直接 连接 服务 器 。IO 〈 输 入 输出 ) 请 求 
直接 发 送 到 存储 设备 。DAS 也 可 称 为 SAS 〈Server-Attached Storage， 服 务 器 附加 存储 )。 
它 依 赖 于 服务 器 , 其 本 身 是 硬件 的 堆 倒 , 不 带 有 任何 存储 操作 系统 。 图 3-6 为 典型 的 DAS 
结构 图 。 


NFS or CIFS 
Clients 


NFS or CIFS 
Clients 


DAS 
NFS orCIFS 
Clients 


LAN/WAN 


Application NETWORK 


Server| 


DAS Data Base 
Server 


图 3-6 典型 的 DAS 结构 


DAS 的 适用 环境 如 下 。 

(1) 服务 器 在 地 理 分 布 上 很 分 散 ， 通 过 SAN (存储 区 域 网络 ) 或 NAS〔 网 络 直 接 
存储 ) 在 它们 之 间 进 行 互 连 非常 困难 时 。 

(2) 存储 系统 必须 被 直接 连接 到 应 用 服务 器 (如 Microsoft Cluster Server 或 某 些 数 据 
库 使 用 的 “原始 分 区 ”) 上 时 。 

(3) 包括 许多 数据 库 应 用 和 应 用 服务 器 在 内 的 应 用 ， 它 们 需要 直接 连接 到 存储 器 上 时 。 

对 于 多 个 服务 器 或 多 台 PC 的 环境 ,使 用 DAS 方式 设备 的 初始 费用 可 能 比较 低 ， 可 
是 这 种 连接 方式 下 ， 每 台 PC 或 服务 器 单独 拥有 自己 的 存储 磁盘 ， 容 量 的 再 分 配 困难 ; 
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对 于 整个 环境 下 的 存储 系统 管理 ， 工 作 烦 琐 而 重复 ， 没 有 集中 管理 解决 方案 。 所 以 ， 整 
体 的 拥有 成 本 (TCO) 较 高 。 目 前 ，DAS 基本 被 NAS 所 代替 。 


3.2.6 NAS 技术 


在 NAS (Network Attached Storage， 网 络 附加 存储 ) 结构 中 ， 存 储 系统 不 再 通过 IO 
总 线 附属 于 某 个 特定 的 服务 器 或 客户 机 ， 而 是 直接 通过 网 络 接口 与 网 络 相连 ， 由 用 户 通 
过 网 络 来 访问 。NAS 与 DAS 的 比较 如 表 3-6 所 示 。 

NAS 实际 上 是 一 个 带 有 瘦 服 务 的 存储 设备 ， 其 作用 类 似 于 一 个 专用 的 文件 服务 器 ， 
不 过 把 显示 器 、 键 盘 和 鼠标 等 设备 省 去 。NAS 用 于 存储 服务 ， 可 以 大 大 降低 存储 设备 的 
成 本 。 另 外 ，NAS 中 的 存储 信息 都 是 采用 RAID 方式 进行 管理 的 ， 从 而 有 效 地 保护 了 
数据 。 

在 访问 资源 方面 也 非常 方便 ， 用 户 访问 NAS 同 访问 一 台 普 通 计 算 机 的 硬盘 资源 一 
样 简单 ， 甚 至 可 以 设置 NAS 设备 为 一 台 FTP 服务 器 ， 这 样 其 他 用 户 就 可 以 通过 FTP 访 


问 NAS 中 的 资源 了 。 在 管理 方面 也 可 以 通过 网 页 浏览 的 方式 进行 管理 。 
表 3-6 NAS 与 DAS 的 比较 


比较 项 目 
核心 技术 


支持 操作 平台 


连接 方式 


安装 


操作 系统 


NAS 
基于 Web 开发 的 软 硬 件 集合 于 一 身 的 他 
技术 ,部 分 NAS 是 软件 实现 RAID 技术 
完全 跨 平台 文件 共享 ， 支 持 所 有 的 操作 
系统 

通过 RJ45 接口 连 上 网 络 , 直接 往 网 络 上 
传输 数据 ， 可 接 10M/100M/1000M 网 络 


安装 简便 快捷 ， 即 插 即 用 


独立 的 Web 优化 存储 操作 系统 ， 完 全 不 
受 服务 器 干预 


DAS 
硬件 实现 RAID 技术 


不 能 提供 跨 平 台 文 件 共享 功能 , 受 限 于 
某 个 独立 的 操作 系统 

通过 SCSI 线 接 在 服务 器 上 ， 通 过 服务 
器 的 网 卡 往 网 络 上 传输 数据 

通过 LCD 面板 设置 RAID 较 简 单 ， 连 
上 服务 器 操作 时 较 复杂 

无 独立 的 存储 操作 系统 , 需 相应 服务 器 
的 操作 系统 支持 


存储 数据 结构 


集中 式 数据 存储 模式 ， 将 不 同系 统 平台 
下 文件 存储 在 一 台 NAS 设备 上 , 方便 网 
络 管理 员 集中 管理 大 量 的 数据 ， 降 低 维 
护 成 本 


分 散 式 数据 存储 模式 , 网 络 管理 员 需 要 
耗费 大 量 时 间 到 不 同 服务 器 下 分 别管 
理 各 自 的 数据 ， 维 护 成 本 增加 


数据 管理 


管理 简单 , 基于 Web 的 GUI 管理 界面 使 
NAS 设备 的 管理 一 目 了 然 


管理 较 复杂 , 需要 服务 器 附带 的 操作 系 
统 支 持 


软件 功能 


自身 支持 多 种 协议 的 管理 软件 ， 功 能 多 
样 ， 支 持 日 志文 件 系统 ， 并 一 般 集成 本 
地 备份 软件 


没有 自身 管理 软件 , 需要 针对 现 有 系统 
情况 另行 购买 
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续 表 
比较 项 目 NAS DAS 
轻松 在 线 增加 设备 ， 无 须 停顿 网 络 ， 而 
i 且 与 已 建立 起 的 网 络 完全 融合 ， 充 分 保 | 增加 硬盘 后 重新 做 RAID 一 般 要 停机 ， 
护 用 户 原 有 投资 ， 良 好 的 扩充 性 完全 满 | 会 影响 网 络 服务 
足 24X7 不 间断 服务 
价格 低 ， 不 需要 购买 服务 器 及 第 三 方 软 、 
总 拥有 成 本 | 件 ， 以 后 的 投入 会 很 少 ， 降 低 用 户 的 后 ee 
续 成 本 ， 从 而 使 总 拥有 成 本 降低 | 
集成 本 地 备份 软件 ， 可 实现 无 服务 器 的 
数据 备份 与 灾 | 网 络 数据 备份 。 双 引擎 设计 理念 ， 即 使 | 可 备份 直 连 服务 器 及 工作 站 的 数据 , 对 
难 恢复 服务 器 发 生 故 障 ， 用 户 仍 可 进行 数据 存 | 多 个 服务 器 的 数据 备份 较 难 
取 
RAID 级 别 RAID0、1、5 或 JBOD RAID0、1、3、5 或 JBOD 
元 结 
硬件 架构 。 | 元 余 电源 、 多 风扇 、 热 插 氢 人 和 症 全 本 全 全 


3.2.7 SAN 技术 


SAN 是 通过 专用 高 速 网 将 一 个 或 多 个 网 络 存储 设备 和 服务 器 连接 起 来 的 专用 存储 
系统 ， 未 来 的 信息 存储 将 以 SAN 存储 方式 为 主 。SAN 主要 采取 数据 块 的 方式 进行 数据 


和 信息 的 存储 ， 


表 3-7 所 示 。 


目前 主要 使 用 于 以 太 网 和 光纤 通道 两 类 环境 中 。NAS 与 SAN 的 比较 如 


通过 IP 协议 或 以 太 网 的 数据 存储 ， 卫 存储 使 得 性 价 比较 好 的 SAN 技术 能 应 用 到 更 
广阔 的 市 场 中 。 它 利用 廉价 、 货 源 丰富 的 以 太 网 交换 机 、 集 线 器 和 线 缆 来 实现 低 成 本 、 
低 风险 基于 卫 的 SAN 存储 。 

光纤 通道 是 一 种 存储 区 域 网 络 技术 ， 它 实现 了 主机 互 连 ， 企 业 间 共享 存储 系统 的 需 
求 。 可 以 为 存储 网 络 用 户 提供 高 速 、 高 可 靠 性 以 及 稳定 安全 性 的 传输 。 光 纤 通道 是 一 种 
高 性 能 、 高 成 本 的 技术 。 

另外 ， 无 限 带宽 技术 〈infiniband) 是 一 种 高 带宽 、 低 延迟 的 下 一 代 互 连 技术 ， 构 成 
新 的 网 络 环境 ， 实 现 卫 SAN 的 存储 系统 。 


表 3-7 NAS 与 SAN 的 比较 


比较 项 目 


NAS 


SAN 


文件 系统 
连接 方式 


基于 File system 的 


基于 LUN 的 
由 FC 交换 机 组 成 的 一 个 存储 网 络 


操作 系统 


连接 在 LAN 中 的 存储 服务 器 
是 和 Cluster 无 关 的 ，NAS 设备 有 自己 
的 OS 


是 和 Cluster 密切 相关 的 ，SAN 中 的 存储 
设备 没有 OS 
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续 表 
比较 项 目 


存储 数据 NAS 上 的 数据 是 不 排外 的 , 同一 个 逻辑 
结构 区 域 可 以 被 多 个 服务 器 读 取 和 修改 


SAN 

SAN 上 的 数据 是 放 在 LUN 上 的 ， 同 一 个 
区 域 需要 Lock Manager 来 控制 ， 不 允许 
同时 读 写 
体系 结构 主要 作为 散布 在 LAN 中 的 各 个 分 开 的 | 主要 是 作为 一 个 整体 概念 存在 于 企业 中 ， 

存储 系统 可 以 看 作 一 个 单独 的 存储 系统 
协议 集 廉价 的 ， 走 的 是 TCP/IP 昂贵 的 ， 走 的 是 FC 相关 协议 集 
总 拥有 成 本 性 能 /价格 比较 好 , 适合 中 小 企业 的 中 央 | 性 能 优秀 ,但 是 价格 昂贵 ,适合 大 型 企业 
存储 和 关键 应 用 的 核心 存储 系统 


1. FC SAN 技术 

由 于 应 用 的 不 断 要 求 ， 光 纤 通 道 技 术 已 经 确立 成 为 SAN 互 连 的 精髓 ， 可 以 为 存储 
网 络 用 户 提供 高 速 、 高 可 靠 性 以 及 稳定 安全 性 的 传输 。 光 纤 通 道 技 术 是 基于 美国 国家 标 
准 协会 (ANSI) 的 X3.230-1994 标准 〈ISO 14165-1)， 而 创建 的 基于 块 的 网 络 方式 。 该 
技术 详细 定义 了 在 服务 器 、 转 换 器 和 存储 子 系统 (例如 ， 磁 盘 列 阵 或 磁带 库 ) 之 间 建 立 
网 络 结构 所 需 的 连接 和 信和 号。 光纤 通道 几乎 可 以 传输 任何 大 小 的 流量 。 

光纤 通道 采用 光纤 以 1Gbps、2Gbps、4Gbps 和 最 新 的 10Gbps 速率 传输 SAN 数据 。 
同时 ， 延 迟 时 间 短 ， 尽 量 缩短 数据 请 求 和 发 送 的 迟缓 时 间 。 例 如 ， 典 型 的 光纤 通道 转换 
所 产生 的 延 时 仅 有 数 微 秒 。 正 是 由 于 光纤 通道 结合 了 高 速度 与 延迟 性 低 的 特点 ， 在 时 间 
敏感 或 交易 处 理 的 环境 中 ， 光 纤 通 道成 为 理想 的 选择 。 同 时 ， 这 些 特 点 还 支持 强大 的 扩 
展 能 力 ， 人 允许 更 多 的 存储 系统 和 服务 器 互 连 。 光 纤 通 道 同 样 支持 多 种 拓扑 结构 ， 既 可 以 
在 简单 的 点 对 点 模式 下 实现 两 个 设备 之 间 的 运行 ， 也 可 以 在 经 济 型 的 仲裁 环 下 连接 126 
台 设 备 , 或 者 (最 常见 的 情况 ) 在 强大 的 交换 式 结构 下 为 数 千 台 设 备 提供 同步 全 速 连接 。 

2. IP SAN 技术 

1) IP SAN 概述 

IP SAN 存储 技术 , 顾名思义 ， 是 在 传统 全 以 太 网 上 架构 一 个 SAN 存储 网 络 把 服务 
器 与 存储 设备 连接 起 来 的 存储 技术 。IP SAN 其 实 是 在 FC SAN 的 基础 上 再 进一步 , 它 把 
SCSI 协议 完全 封装 在 PP 协议 之 中 。 简 单 来 说 ，IP SAN 就 是 把 FC SAN 中 光纤 通道 解决 
的 问题 通过 更 为 成 熟 的 以 太 网 来 实现 。 从 逻辑 上 讲 ， 它 是 彻底 的 SAN 架构 ， 即 为 服务 器 提 
供 块 级 服务 。 

2) IP SAN 的 特性 

IP SAN 技术 有 其 独特 的 优点 : 节约 大 量 成 本 、 加 快 实施 速度 、 优 化 可 靠 性 以 及 增 
强 扩展 能 力 等 。 采 用 iSCSI 技术 组 成 的 全 SAN 可 以 提供 和 传统 FC SAN 相 媲 美的 存储 解 
决 方案 ， 而 且 普 通 服务 器 或 PC 只 需要 具备 网 卡 ， 即 可 共享 和 使 用 大 容量 的 存储 空间 。 
与 传统 的 分 散 式 直 连 存储 方式 不 同 ， 它 采用 集中 的 存储 方式 ， 极 大 地 提高 了 存储 空间 的 
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利用 率 ， 方 便 了 用 户 的 维护 管理 。 

iSCSI 是 基于 卫 协议 的 ， 它 能 容纳 所 有 卫 协议 网 络 中 的 部 件 。 通 过 iSCSI， 用 户 
可 以 穿越 标准 的 以 太 网 线 缆 ， 在 任何 需要 的 地 方 创建 实际 的 SAN 网 络 ， 而 不 需要 专门 
的 光纤 通道 网 络 在 服务 器 和 存储 设备 之 间 传 送 数据 。iSCSI 可 以 实现 异地 间 的 数据 交换 ， 
使 远程 镜像 和 备份 成 为 可 能 。 因 为 没有 光纤 通道 对 传输 距离 的 限制 , IP SAN 使 用 标准 的 
TCP/IP 协议 ， 数 据 即 可 在 以 太 网 上 进行 传输 。 

3) IP SAN 和 FC SAN 的 比较 

SAN 主要 包含 FC SAN 和 IP SAN 两 种 ，FC SAN 的 网 络 介质 为 光纤 通道 (Fibre 
Channel)， 而 IP SAN 使 用 标准 的 以 太 网 。 采 用 全 SAN 可 以 将 SAN 为 服务 器 提供 的 共 
享 特性 以 及 人 P 网 络 的 易 用 性 很 好 地 结合 在 一 起 , 并 且 为 用 户 提供 了 类 似 服务 器 本 地 存储 
的 较 高 性 能 体验 。SAN 是 一 种 进行 块 级 服务 的 存储 架构 ， 一 直 以 来 ， 光 纤 通 道 SAN 发 
展 相 对 迅速 ， 因 此 ， 一 度 认为 只 能 通过 光纤 通道 来 实现 SAN。 然 而 ， 通 过 传统 的 以 太 网 
仍然 可 以 构建 SAN， 那 就 是 IP SAN。 

iSCSI 是 实现 IP SAN 最 重要 的 技术 。 在 iSCSI 出 现 之 前 ， 了 网 络 与 块 模式 (主要 是 
光纤 通道 ) 是 两 种 完全 不 兼容 的 技术 。 由 于 iSCSI 是 运行 在 TCP/IP 之 上 的 块 模式 协议 ， 
它 将 人 网 络 与 块 模式 的 优势 很 好 地 结合 起 来 ， 且 IP SAN 的 成 本 低 于 FC SAN。 

4) IP SAN 解决 方案 

IP SAN 存储 解决 方案 有 着 广泛 的 行业 适用 性 ,在 备份 和 恢复 、 高 可 用 性 、 业 务 连 续 
性 、 服 务 器 和 存储 设备 整合 等 方面 , 采用 iSCSI 技术 组 成 的 IP SAN 存储 可 与 FC SAN 相 
媲美 。IP SAN 构建 成 本 更 低 ， 而 且 可 以 连接 更 远 的 距离 ， 对 于 电信 、 企 业 、 教 育 、 政 府 、 
专业 设计 公司 、 音 /视频 处 理 、 新 闻 出 版 、ISPICP、 科 研 院 所 和 信息 中 心 等 行业 用 户 都 
比较 适用 。 


多 个 非 编 制作 工作 站 
Sn 一 全 
iSCSI HBA me iSCSI HBA 
IP 交换 机 
加 iSCSI HBA 
et | 
服务 器 IP SAN 存储 磁带 机 


3-7 ”典型 的 人 PSAN 解决 方案 
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图 3-7 为 比较 简单 的 IP SAN 结构 图 。 例 子 中 使 用 千 兆 以 太 网 交换 机 搭建 网 络 环境 ， 
由 非 编制 作 工 作 站 、 文 件 服务 器 和 磁盘 阵列 及 磁带 库 组 成 。 图 中 服务 器 、 工 作 站 使 用 
iSCSIHBA (Host Bus Adapter， 主 机 总 线 适 配 卡 ) 通过 交换 机 连接 。 为 强调 HBA 卡 ， 特 
意 另 外 画 出 标明 。iSCSI HBA 包括 网 卡 的 功能 ， 还 支持 OSI 网 络 协议 堆栈 以 实现 协议 转 
换 的 功能 。 

注意 ， 如 果 不 用 HBA 卡 ， 也 可 以 用 软件 实现 SCSI 协议 和 TCP/IP 协议 之 间 的 转换 。 
但 这 比较 消耗 CPU 资源 。 如 果 采 用 软件 ， 服 务 器 配置 建议 采用 双 CPU。 在 IP SAN 中 还 
可 以 将 基于 iSCSI 技术 的 磁带 库 直接 连接 到 交换 机 上 ， 通 过 存储 管理 软件 实现 简单 、 快 
速 的 数据 备份 。 

3. IB SAN 技术 

1) IB SAN 概述 

InfiniBand 是 一 种 交换 结构 IO 技术 , 其 设计 思路 是 通过 一 套 中 心机 构 InfiniBand 交 
换 机 在 远程 存储 器 、 网 络 以 及 服务 器 等 设备 之 间 建 立 一 个 单一 的 连接 链 路 ， 并 由 中 心 
InfiniBand 交换 机 来 指挥 流量 。 它 的 结构 设计 得 非常 紧密 ， 大 大 提高 了 系统 的 性 能 、 可 
靠 性 和 有 效 性 ， 能 缓解 各 硬件 设备 之 间 的 数据 流量 拥塞 。 而 这 是 许多 共享 总 线 式 技术 没 
有 解决 好 的 问题 ， 例 如 这 是 基于 PCI 的 机 器 最 头疼 的 问题 ， 甚 至 最 新 的 PCI-X 也 存在 这 
个 问题 。 因 为 在 共享 总 线 环境 中 ， 设 备 之 间 的 连接 都 必须 通过 指定 的 端口 建立 单独 的 
链 路 。 

InfiniBand 的 设计 主要 是 围绕 着 点 对 点 以 及 交换 结构 IO 技术 , 这 样 ， 从 简单 廉价 的 
LO 设备 到 复杂 的 主机 设备 都 能 被 堆 释 的 交换 设备 连接 起 来 。InfiniBand 主要 支持 两 种 环 
境 : 模块 对 模块 的 计算 机 系统 (支持 IO 模块 附加 插 模 ); 在 数据 中 心 环境 中 的 机 箱 对 机 
箱 的 互 连 系统 、 外 部 存储 系统 和 外 部 LAN/WAN 访问 设备 。 

InfiniBand 支持 的 带宽 比 现在 主流 的 IO 载体 (如 SCSI、Ethernet、Fibre Channel) 
还 要 高 ， 另 外 ， 由 于 使 用 IPv6 的 报头 ，InfiniBand 还 支持 与 传统 Intemet/Intranet 设施 的 
有 效 连 接 。 用 InfiniBand 技术 替代 总 线 结构 所 带 来 的 最 重要 的 变化 就 是 建立 了 一 个 灵活 、 
高 效 的 数据 中 心 ， 省 去 了 服务 器 复杂 的 IO 部 分 。 

InfiniBand SAN 采用 层次 结构 ， 将 系统 的 构成 与 接 入 设备 的 功能 定义 分 开 ， 不 同 的 
主机 可 通过 HCA (Host Channel Adapter, 主机 适配器 )、RAID 等 网 络 存储 设备 利用 TCA 
(Target Channel Adapter， 目 标 适 配器 ) 接 入 InfiniBand SAN。 

InfiniBand 应 用 于 服务 器 群 和 存储 区 域 网 络 (SAN)， 在 这 种 环境 中 性 能 问题 至 关 重 
要 。 该 种 结构 可 以 基于 信道 的 串口 替代 共用 总 线 ， 从 而 使 TO 子 系统 和 CPU/ 内 存 分 离 。 
所 有 系统 和 设备 〈 一 般 称 作 节点 ) 可 通过 信道 适配器 逻辑 连接 到 该 结构 ， 它 们 可 以 是 主 
机 服务 器 〉 适 配器 或 目标 适配器 。 该 种 结构 (包括 InfiniBand 交换 机 和 路 由 器 ) 还 可 
轻松 实现 扩展 ， 从 而 满足 不 断 增 长 的 需求 。InfiniBand 协议 可 满足 各 种 不 同 的 需求 ， 包 
括 组 播 、 分 区 、 人 P 兼容 性 、 流 控制 和 速率 控制 等 。 
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2) IB SAN 的 特性 

InfiniBand SAN 主要 具有 如 下 特性 。 

(1) 可 伸缩 的 Switched Fabric 互 连 结构 。 

(2) 由 硬件 实现 的 传输 层 互 连 高 效 、 可 靠 。 

(3) 支持 多 个 虚 信 道 (virtual lanes)。 

(4) 硬件 实现 自动 的 路 径 变 换 (path migration)。 

(5) 高 带宽 ， 总 带宽 随 IJB Switch 规模 成 倍增 长 。 

(6) 支持 SCSI 远 程 DMA 协议 (SRP)。 

(7) 具有 较 高 的 容错 性 和 抗 毁 性 ， 支 持 热 插 拔 。 

3) IB SAN 的 应 用 与 发 展 

在 InfiniBand 体系 结构 下 ， 可 以 实现 不 同形 式 的 存储 系统 ， 包 括 SAN 和 NAS。 基 
于 InfiniBand IO 路 径 的 SAN 存储 系统 有 两 种 实现 途径 : 其 一 是 SAN 存储 设备 内 部 通过 
InfiniBand IO 路 径 进 行 数据 通信 ，InfiniBand IO 路 径 取 代 PCI 或 高 速 串 行 总 线 , 但 与 服 
务 器 /主机 系统 的 连接 还 是 通过 FC IO 路 径 ; 其 二 是 SAN 存储 设备 和 主机 系统 利用 Infini- 
Band IO 路 径 取 代 FC IO 路 径 ， 实 现 彻底 的 基于 InfiniBand LO 路 径 的 存储 体系 结构 。 

InfiniBand 有 可 能 成 为 未 来 网 络 存 储 的 发 展 趋势 ， 原 因 如 下 。 

(1) InfiniBand 体系 结构 经 过 特别 设计 ， 支 持 安全 的 信息 传递 模式 、 多 并 行 通 道 、 
智能 IO 控制 器 、 高 速 交换 机 以 及 高 可 靠 性 、 可 用 性 和 可 维护 性 。 

(2) InfiniBand 体系 结构 具有 性 能 可 伸缩 性 和 较 广泛 的 适用 性 。 

(3) InfiniBand 由 多 家 国际 大 公司 共同 发 起 ， 是 一 个 影响 广泛 的 业界 活动 。 

InfiniBand 应 用 于 服务 器 群 和 存储 区 网 络 ， 但 它 的 模块 化 、 可 扩展 的 结构 以 及 灵活 
性 使 其 能 够 广泛 应 用 于 各 种 高 性 能 IO 的 结构 。InfiniBand 将 与 其 他 标准 兼容 ,如 以 太 网 
和 其 他 LAN 及 WAN。InfiniBand 可 作为 一 种 “通用 载体 ”技术 进行 应 用 ， 这 使 得 它 具 
备 了 解决 大 型 集成 问题 的 潜力 。 


3.2.8 备份 系统 及 备份 软件 


1. 数据 备份 结构 

常见 的 数据 备份 系统 主要 有 Host-Base、LAN-Base 和 基于 SAN 结构 的 LAN-Free、 
Server-Free 等 多 种 结构 。 

(1) Host-Based 备份 方式 。Host-Based 是 传统 的 数据 备份 结构 ， 该 结构 中 磁带 库 直 
接 接 在 服务 器 上 ， 而 且 只 为 该 服务 器 提供 数据 备份 服务 。 一 般 情况 下 ， 这 种 备份 大 多 是 
采用 服务 器 上 自 带 的 磁带 机 ， 而 备份 操作 通常 是 通过 手工 操作 的 方式 进行 的 。 另 外 ， 不 
同 的 操作 系统 平台 使 用 的 备份 恢复 程序 一 般 也 不 相同 ， 这 使 得 备份 工作 和 对 资源 的 总 体 
管理 变 得 更 加 复杂 。 
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Host-Based 备份 结构 的 优点 是 数据 传输 速度 快 ， 备 份 管理 简单 ， 缺 点 是 不 利于 备份 
系统 的 共享 ， 不 适合 于 现在 大 型 的 数据 备份 要 求 。 

(2) LAN-Based 备份 方式 。 LAN-Based 备份 ， 在 该 系统 中 数据 的 传输 是 以 网 络 为 基 
础 的 。 其 中 配置 一 台 服 务 器 作为 备份 服务 器 ， 由 它 负责 整个 系统 的 备份 操作 。 磁 带 库 则 
接 在 某 台 服务 器 上 ， 在 数据 备份 时 备份 对 象 把 数据 通过 网 络 传输 到 磁带 库 中 实现 备份 。 

LAN-Based 备份 结构 的 优点 是 节省 投资 、 磁 带 库 共 享 、 集 中 备份 管理 ; 它 的 缺点 是 
对 网 络 传输 压力 大 。 

(3) LAN-Free 备份 方式 。LAN-Free 和 Server-Free 的 备份 系统 建立 在 SAN 的 基础 
上 。 基 于 SAN 的 备份 是 一 种 彻底 解决 传统 备份 方式 需要 占用 LAN 带宽 问题 的 解决 方案 。 
它 采 用 一 种 全 新 的 体系 结构 ， 将 磁带 库 和 磁盘 阵列 各 自作 为 独立 的 光纤 节点 ， 多 台 主 机 
共享 磁带 库 备 份 时 ， 数 据 流 不 再 经 过 网 络 而 直接 从 磁盘 阵列 传 到 磁带 库 内 ， 是 一 种 无 须 
占用 网 络 带 宽 (LAN-Free) 的 解决 方案 。 

目前 随 着 SAN 技术 的 不 断 进步 , LAN-Free 的 结构 已 经 相当 成 熟 。LAN-Free 的 优点 
是 数据 备份 统一 管理 、 备 份 速度 快 、 网 络 传输 压力 小 、 磁 带 库 资源 共享 : 缺点 是 投资 高 。 

(4) LAN Server-Free 备份 方式 。LAN Server-Free 备份 方式 是 以 全 面 的 释放 网 络 和 
服务 器 资源 为 目的 的 。 它 的 核心 是 在 SAN 的 交换 层 实现 数据 的 复制 工作 ， 这 样 备份 数 
据 不 仅 无 须 经 过 网 络 ， 而 且 也 不 必 经 过 应 用 服务 器 的 总 线 ， 完 全 保证 了 网 络 和 应 用 服务 
器 的 高 效 运行 。 目 前 一 些 厂商 推出 了 自己 在 这 方面 的 相关 产品 和 解决 方案 ， 但 是 比较 成 
熟 且 开放 性 好 的 产品 还 在 进一步 发 展 中 。 到 目前 为 止 , LAN Server-Free 技术 已 经 成 为 所 
有 相关 厂商 争 相 追逐 的 目标 ， 无 疑 是 备份 技术 领域 内 最 大 的 热点 ， 相 信和 在 不 久之 后 ， 用 
户 就 可 以 真正 享受 到 这 一 新 技术 带 来 的 成 果 。 

目前 主流 的 备份 软件 ， 如 IBM Tivoli、Veritas 等 ， 均 支持 上 述 4 种 备份 方案 。4 种 
方案 中 ，LAN 备份 数据 量 最 小 ， 对 服务 器 资源 占用 最 多 ， 成 本 最 低 ; LAN-Free 备份 数 
据 量 大 一 些 ， 对 服务 器 资源 占用 小 一 些 ， 成 本 高 一 些 ; LAN Server-Free 备份 方案 能 够 在 
短 时 间 备 份 大 量 数据 ， 对 服务 器 资源 占用 最 少 ， 但 成 本 最 高 。 

2. 备份 软件 

一 般 磁带 驱动 器 的 厂商 并 不 提供 设备 的 驱动 程序 ， 对 磁带 驱动 器 的 管理 和 控制 工作 
完全 是 备份 软件 的 任务 。 磁 带 的 卷 动 、 吞 吐 磁带 等 机 械 动作 ， 都 要 靠 备 份 软件 的 控制 来 
完成 。 所 以 , 备份 软件 和 磁带 机 之 间 存 在 一 个 兼容 性 的 问题 , 这 两 者 之 间 必 须 互相 支持 ， 
备份 系统 才能 得 以 正常 工作 。 

与 磁带 驱动 器 一 样 ， 磁 带 库 的 厂商 也 不 提供 任何 驱动 程序 ， 机 械 动作 的 管理 和 控制 
全 部 由 备份 软件 负责 。 与 磁带 驱动 器 相 区 别 的 是 ， 磁 带 库 具有 更 复杂 的 内 部 结构 ， 备 份 
软件 的 管理 相应 地 也 就 更 复杂 。 例 如 ， 机 械 手 的 动作 和 位 置 、 磁 带 仓 的 槽 位 等 。 这 些 管 
理工 作 的 复杂 程度 比 单一 磁带 驱动 器 要 高 出 很 多 ， 所 以 几乎 所 有 的 备份 软件 都 是 免费 地 
支持 单一 磁带 机 的 管理 ， 而 对 磁带 库 的 管理 则 要 收取 一 定 的 费用 。 
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(1) 备份 数据 的 管理 。 作 为 全 自动 的 系统 ， 备 份 软件 必须 对 备份 下 来 的 数据 进行 统 
一 管理 和 维护 。 在 简单 的 情况 下 ， 备 份 软件 只 需要 记 住 数据 存放 的 位 置 就 可 以 了 ， 这 一 
般 是 依靠 建立 一 个 索引 来 完成 的 。 然 而 随 着 技术 的 进步 ， 备 份 系统 的 数据 保存 方式 也 越 
来 越 复杂 多 变 。 例 如 ， 一 些 备份 软件 允许 多 个 文件 同时 写 入 一 盘 磁 带 ， 这 时 备份 数据 的 
管理 就 不 再 像 传 统 方式 下 那么 简单 了 ， 往 往 需 要 建立 多 重 索 引 才 能 定位 数据 。 

(2) 数据 格式 也 是 一 个 需要 关心 的 问题 。 就 像 磁盘 有 不 同 的 文件 系统 格式 一 样 ， 磁 
带 的 组 织 也 有 不 同 的 格式 。 一 般 备份 软件 会 支持 若干 种 磁带 格式 ， 以 保证 自己 的 开放 性 
和 兼容 性 ， 但 是 使 用 通用 的 磁带 格式 也 会 损失 一 部 分 性 能 。 所 以 ， 大 型 备份 软件 一 般 还 
是 偏爱 某 种 特殊 的 格式 。 这 些 专用 的 格式 一 般 都 具有 高 容量 、 高 备份 性 能 的 优势 ， 但 是 
需要 注意 的 是 ， 特 殊 格 式 对 恢复 工作 来 说 是 一 个 不 小 的 隐患 。 

(3) 备份 策略 制定 是 一 个 重要 部 分 。 需 要 备份 的 数据 都 存在 一 个 2/8 原则 ， 即 20% 
的 数据 被 更 新 的 概率 是 80%。 这 个 原则 说 明 ， 每 次 备份 都 完整 地 复制 所 有 数据 是 一 种 非 
常 不 合理 的 做 法 。 事 实 上 ， 真 实 环 境 中 的 备份 工作 往往 是 基于 一 次 完整 备份 之 后 的 增 量 
或 差 量 备份 。 那 么 完整 备份 与 增 量 备份 和 差 量 备份 之 间 如 何 组 合 才能 最 有 效 地 实现 备份 
保护 ， 这 正 是 备份 策略 所 关心 的 问题 。 

(4) 工作 过 程控 制 。 根 据 预先 制定 的 规则 和 策略 ， 备 份 工作 何 时 启动 ， 对 哪些 数据 
进行 备份 ， 以 及 工作 过 程 中 意外 情况 的 处 理 ， 这 些 都 是 备份 软件 需要 注意 的 问题 。 其 中 
包括 了 与 数据 库 应 用 的 配合 接口 ， 也 包括 了 一 些 备份 软件 自身 的 特殊 功能 。 例 如 ， 很 多 
情况 下 需要 对 打开 的 文件 进行 备份 ， 这 就 需要 备份 软件 在 保证 数据 完整 性 的 情况 下 ， 对 
打开 的 文件 进行 操作 。 另 外 ， 由 于 备份 工作 一 般 都 是 在 无 人 看 管 的 环境 下 进行 ， 一 旦 出 
现 意外 ， 正 常 工 作 无 法 继续 时 ， 备 份 软件 必须 具有 一 定 的 意外 处 理 能 力 。 

(5) 数据 恢复 工作 。 数 据 备份 是 为 了 恢复 ， 所 以 这 部 分 功能 自然 也 是 备份 软件 的 重 
要 部 分 。 很 多 备份 软件 对 数据 恢复 过 程 都 给 出 了 相当 强大 的 技术 支持 和 保证 。 一 些 中 低 
端 备份 软件 支持 智能 灾难 恢复 技术 ， 即 用 户 几乎 无 须 干 预 数据 恢 复 过 程 ， 只 要 利用 备份 
数据 介质 ， 就 可 以 迅速 自动 地 恢复 数据 。 而 一 些 高 端的 备份 软件 在 恢复 时 ， 支 持 多 种 恢 
复 机 制 ， 用 户 可 以 灵活 地 选择 恢复 程度 和 恢复 方式 ， 极 大 地 方便 了 用 户 。 

3. 备份 介质 

除了 备份 架构 的 新 进展 之 外 ， 在 备份 介质 选择 上 ， 也 出 现 了 一 些 新 的 趋势 。 

传统 上 备份 介质 主要 是 以 磁带 设备 为 主 ， 这 主要 是 因为 磁带 在 单位 容量 的 成 本 上 ， 
较 之 其 他 介质 具有 非常 大 的 优势 。 但 是 随 着 技术 的 发 展 进步 ， 尤 其 是 ATA 技术 的 发 展 ， 
硬盘 的 成 本 在 迅速 下 降 。 现 在 ， 在 一 些 场合 下 ， 磁 盘 作 为 备份 介质 其 优势 已 经 越 来 越 明 
显 。 一 些 厂商 正在 着 力 劝 说 用 户 采 用 更 加 方便 高 效 的 磁盘 代 蔡 磁带 作为 备份 介质 ， 更 有 
一 些 厂商 甚至 推出 了 包含 磁盘 和 备份 软件 的 整体 设备 ， 即 备份 一 体 机 。 

事实 上 ， 磁 盘 作 为 备份 介质 的 最 大 好 处 就 是 其 介质 管理 工作 的 简化 和 性 能 的 提升 。 
前 面 提 到 过 ， 一 个 磁带 库 的 管理 工作 非常 地 复杂 烦琐 ， 如 果 考 虑 到 对 不 同 厂家 的 不 同型 
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号 的 磁带 库 产 品 都 提供 良好 支持 ， 工 作 无 疑 是 极其 艰巨 的 。 而 磁盘 介质 则 几乎 不 存在 这 
样 的 问题 。 这 也 是 备份 软件 厂商 看 好 磁盘 备份 的 理由 之 一 。 

然而 ， 磁 带 介质 本 身 的 技术 发 展 并 没有 受到 这 一 理念 的 冲击 。 相 反 地 ， 就 在 磁盘 介 
质 向 离线 存储 领域 进军 的 同时 ， 磁 带 介 质 也 借 数据 迁移 技术 的 发 展 ， 大 踏步 地 向 在 线 存 
储 领域 发 展 着 。 

数据 迁移 技术 也 称 为 分 层 存储 管理 ， 是 一 种 将 离线 存储 与 在 线 存储 整合 的 技术 。 传 
统 上 ， 离 线 数据 是 静态 的 ， 无 法 实时 地 被 访问 ， 而 数据 迁移 技术 正 是 冲破 这 一 限制 ， 将 
离线 数据 与 在 线 数 据 统一 调度 ， 从 而 实现 所 有 数据 的 实时 访问 。 与 磁盘 备份 技术 相反 ， 
这 一 技术 的 主要 目的 就 是 以 一 定 的 存储 系统 性 能 为 代价 ， 换 取 大 型 海量 存储 系统 的 总 体 
拥有 成 本 。 如 图 3-8 所 示 。 
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图 3-8 数据 迁移 的 工作 原理 


数据 迁移 的 工作 原理 比 磁盘 备份 技术 略为 复杂 。 简 单 地 说 ， 就 是 将 大 量 不 经 常 访 问 
的 数据 存放 在 磁带 库 等 离线 介质 上 ， 在 磁盘 阵列 上 只 保存 少量 访问 频率 高 的 数据 。 当 那 
些 磁 带 介质 上 的 数据 被 访问 时 ， 系 统 自 动 地 把 这 些 数 据 回 迁 到 磁盘 阵列 中 。 同 样 ， 磁 盘 
阵列 中 很 久未 访问 的 数据 被 自动 迁移 到 磁带 介质 上 。 从 某 种 意义 上 讲 ， 磁 盘 阵 列 以 一 个 
磁带 库 的 “中 间 缓 存 ” 的 方式 被 使 用 ， 既 保证 了 大 多 数 情况 下 数据 访问 的 响应 性 能 ， 也 
避免 了 大 量 利用 率 低 的 数据 长 期 占用 成 本 较 高 的 磁盘 空间 。 

4. 厂商 及 产品 介绍 

备份 软件 厂商 中 头 把 交椅 当 属 Veritas 公司 。 这 家 公司 经 过 近 几 年 的 发 展 和 并 购 , 在 备份 
软件 市 场 已 经 占据 了 4 成 左右 的 份额 。 其 备份 产品 主要 是 两 个 系列 一 一 高 端的 NetBackup 
和 低 端 的 Backup Exec。 其 中 ，NetBackup 适用 于 中 型 和 大 型 的 存储 系统 ， 可 以 广泛 地 支 
持 各 种 开放 平台 。 NetBackup 还 支持 复杂 的 网 络 备份 方式 和 LAN-Free 的 数据 备份 ,其 技 
术 先 进 性 是 业界 共同 认可 的 。 

Backup Exec 是 原 Seagate Soft 公司 的 产品 , 在 Windows 平台 具有 相当 的 普及 率 和 认 
可 度 ， 微 软 公 司 不 仅 在 公司 内 部 全 面 采用 这 款 产品 进行 数据 保护 ， 还 将 其 简化 版 打包 在 
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Windows 操作 系统 中 ， 我 们 现在 在 Windows 系统 中 使 用 的 “备份 ”功能 ， 就 是 OEM 自 
Backup Exec 的 简化 版 。2000 年 年 初 ，Veritas 收购 了 Seagate Soft 之 后 ,在 原来 的 基础 上 
对 这 个 产品 进一步 丰富 和 加 强 ， 现 在 ， 这 款 产品 在 低 端 市 场 的 占用 率 已 经 稳 稳 占 据 第 一 
的 位 置 。 

Legato 公司 是 备份 领域 内 仅 次 于 Veritas 公司 的 主要 厂商 。 作 为 专业 的 备份 软件 厂商 ， 
Legato 公司 拥有 着 比 Veritas 公司 更 久 的 历史 , 这 使 其 具有 了 相当 大 的 竞争 优势 , 一 些 大 
型 应 用 的 产品 中 涉及 备份 的 部 分 都 会 率先 考虑 与 Legato 的 接口 问题 。 而 且 ， 像 Oracle 
等 一 些 数据 库 应 用 干脆 内 置 集成 了 Legato 公司 的 备份 引擎 。 这 些 因素 使 得 Legato 公司 
成 为 了 高 端 备份 软件 领域 中 的 一 面 旗帜 。 在 高 端 市 场 这 一 领域 ，Legato 公司 与 Veritas 公 
司 一 样 具有 极 强 的 技术 和 市 场 实力 ， 两 家 公司 在 高 端 市 场 的 争夺 一 直 难 分 伯仲 。 

Legato 公司 的 备份 软件 产品 以 NetWorker 系列 为 主线 , 与 NetBackup 一 样 , NetWorker 
也 是 适用 于 大 型 的 复杂 网 络 环境 ， 具 有 各 种 先进 的 备份 技术 机 制 ， 广 泛 地 支持 各 种 开放 
系统 平台 。 值 得 一 提 的 是 ,NetWorker 中 的 Cellestra 技术 第 一 个 在 产品 上 实现 了 Serverless 
Backup 的 思想 。 仅 就 备份 技术 的 先进 性 而 言 , Legato 公司 是 有 实力 挑战 任何 强大 对 手 的 。 

除了 Veritas 和 Legato 这 两 大 备份 领域 的 巨头 之 外 ，IBM Tivoli 也 是 重要 角色 之 一 ， 
其 Tivoli Storage Manager 产品 是 高 端 备份 产品 中 的 有 力 竞 争 者 。 与 Veritas 的 NetBackup 
和 Legato 的 NetWorker 相 比 , Tivoli Storage Manager 更 多 地 适用 于 IBM 主机 为 主 的 系统 
平台 ， 但 其 强大 的 网 络 备份 功能 绝对 可 以 胜任 任何 大 规模 的 海量 存储 系统 的 备份 需要 。 

CA 公司 是 软件 领域 的 一 个 巨 无 霸 企业 ， 虽 然 主要 精力 没有 放 在 存储 技术 方面 ， 但 其 
原来 的 备份 软件 ARCServe 仍然 在 低 端 市 场 具 有 相当 广泛 的 影响 力 。 近 年 来 ， 随 着 存储 
市 场 的 发 展 ，CA 公司 重新 调整 策略 ， 并 购 了 一 些 备份 软件 厂商 ， 整 合 之 后 推出 了 新 一 
代 备 份 产品 一 一 BrightStor， 这 款 产品 的 定位 直 指 中 高 端 市 场 。 


3.3 ”其 他 资源 设备 


3.3.1 网 络 传真 机 


网 络 传真 机 (efax) 也 称 电子 传真 机 ， 是 一 种 基于 现 有 电话 交换 网 (PSTN) 和 因 特 
网 的 存储 转发 设备 。 它 为 现代 办 公 提 供 了 更 高 效 、 更 经 济 、 更 环保 的 传真 方式 ， 是 传统 
传真 机 的 替代 产品 。 

1. 网 络 传真 机 类 别 

目前 网 络 传真 机 大 致 分 为 如 下 两 类 。 

(1) 软件 网 络 传真 机 : 通过 在 计算 机 上 直接 安装 软件 来 实现 传真 功能 。 由 于 是 单机 
模式 ， 仅 适用 于 个 人 或 者 小 型 企业 。 

(2) 硬件 网 络 传真 机 : 在 局 域 网 内 实现 了 用 户 对 传真 资源 的 共享 ， 需 一 台 硬 件 网 络 
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传真 设备 ， 同 时 还 需要 一 台 传真 服务 器 。 这 种 方式 加 强 了 对 传真 的 监控 与 统一 的 管理 ， 
适用 于 大 中 型 企业 和 单位 组 织 。 

2. 传真 机 选择 标准 

(1) 稳定 性 。 稳 定 的 性 能 是 选择 传真 服务 系统 的 最 基本 指标 。 主 要 包括 以 下 三 条 参 
考 项 。 

Q@ 看 软件 经 过 长 时 间 运 行 后 是 否 会 出 现 僵 死 或 瘫痪 的 现象 。 

@ 看 软件 是 否 占用 了 过 多 的 系统 资源 。 

@ 看 当 传真 量 特别 大 时 ， 服 务 器 系统 〈 包 括 软 件 部 分 和 硬件 部 分 ) 能 和 否 持续 承受 
大 任务 量 的 压力 而 不 出 现 异 常 。 

(2) 适用 性 。 大 多 数 的 传真 软件 除 基 本 的 收发 功能 外 ， 已 经 开发 出 许多 辅助 功能 ， 
如 用 邮件 收发 传真 、 传 真 审批 、 传 真 签 章 、 传 真 编辑 、 短 信 通 知 、 语 音 功能 、 与 复合 机 
的 整合 和 集团 免费 传真 等 。 但 并 不 是 所 有 的 功能 都 是 每 个 用 户 所 必需 的 ， 而 且 各 款 软 
件 对 相同 功能 的 实现 都 有 其 独特 之 处 ， 需 要 根据 实际 需求 和 现 有 的 工作 环境 选择 适合 的 
产品 。 

(3) 兼容 性 。 收 发 传真 有 多 种 设备 、 多 种 方式 ， 就 要 求 传真 服务 器 对 各 式 各 样 的 传 
真 方式 给 出 的 传真 信号 具有 较 强 的 兼容 性 。 

(4) 可 扩展 性 。 除 了 要 考虑 现 有 的 传真 线路 、 日 均 传真 量 、 使 用 的 人 数 和 功能 需求 
等 外 ， 还 要 考虑 以 后 业务 增长 后 的 升级 扩容 问题 。 如 果 仅 能 满足 目前 需求 ， 而 不 能 满足 
日 后 的 扩容 需求 ， 带 来 的 不 仅仅 是 重复 投资 , 更 重要 的 是 传真 数据 无 法 延续 、 统 一 管理 。 

(5) 易 用 性 。 要 求 软件 操作 时 上 手 简单 ， 易 学 ， 尽 量 方便 和 人 性 化 。 

(6) 可 集成 性 。 许 多 单位 和 组 织 已 经 充分 意识 到 信息 化 的 必要 性 ， 随 着 各 种 信息 化 
系统 的 引入 ， 软 件 如 ERP、CRM 和 OA 等 ， 硬 件 如 高 端 复合 机 等 ， 所 要 考虑 的 就 不 只 
是 如 何 使 用 这 些 ， 更 需要 的 是 实现 协同 办 公 。 为 避免 传真 继续 成 为 信息 的 孤岛 ， 网 络 传 
真 系统 是 否 具 有 灵活 的 集成 能 力也 是 考量 时 不 可 忽视 的 一 个 方面 。 

3. 典型 实例 

网 络 传真 机 连接 电话 交换 网 和 网 络 传真 服务 器 。 网 络 传真 服务 器 配备 打印 机 、 扫 
描 仪 ， 安 装 传真 软件 的 服务 器 端 ， 连 接 在 局 域 网 上 。 在 需要 收发 传真 的 用 户 的 计算 机 上 
安装 网 络 传真 软件 的 客户 端 ， 实 现 系统 内 各 用 户 即时 实现 传真 的 收发 ， 如 图 3-9 所 示 。 

系统 实现 的 主要 功能 如 下 。 

(1) 每 个 用 户 都 有 属于 自己 的 传真 分 机 号 ， 方 便 对 外 的 联系 。 

(2) 传统 传真 机 与 计算 机 用 户 实现 互 传 。 

(3) 计算 机 用 户 像 收发 电子 邮件 一 样 收发 传真 。 

〈4) 自动 对 所 有 接收 和 发 送 的 传真 进行 电子 存档 ， 便 于 随时 查看 和 分 类 整理 。 
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网 络 传真 机 


普通 传真 机 


图 3-9 网 络 传真 系统 


(5) 可 以 实现 传真 审批 、 传 真 签 章 和 传真 编辑 等 辅助 功能 。 
3.3.2 ”网 络 打 印 机 


网 络 打印 机 是 指 通过 打印 服务 器 将 打印 机 接 入 局 域 网 或 者 Intemet 的 独立 设备 。 网 
络 打印 机 摆脱 了 一 直 以 来 作为 计算 机 外 设 的 附属 地 位 ， 成 为 网 络 中 一 个 独立 的 节点 ， 一 
个 信息 管理 与 输出 的 终端 ， 用 户 可 以 直接 访问 并 使 用 网 络 打印 机 。 

1. 接 入 与 控制 

网 络 打印 机 要 正常 工作 ， 一 定 要 先 接 入 网 络 。 目 前 有 两 种 接 入 的 方式 : 一 种 是 打印 
机 自 带 打印 服务 器 〈 也 称 内 置 打 印 服务 器 )， 打 印 服务 器 上 有 网 络 接口 ， 只 需 插 入 网 线 分 
配 人 P 地 址 便 可 工作 ; 另 一 种 是 打印 机 使 用 外 置 的 打印 服务 器 ， 外 置 打 印 服务 器 一 般配 备 
一 个 外 接 电源 , 打印 机 通过 并 口 或 USB 口 与 打印 服务 器 连接 , 打印 服务 器 再 与 网 络 连接 。 

网 络 打印 机 一 般配 有 管理 软件 ， 通 过 管理 软件 可 以 从 远程 配置 打印 机 的 参数 ， 查 看 
并 控制 打印 任务 。 网 络 打印 管理 软件 需 根据 打 印 需求 对 网 络 连接 性 能 进行 优化 ， 同 时 还 
需要 与 打印 机 内 部 控制 器 很 好 地 匹配 ， 具 有 一 定 的 网 络 流量 管理 和 打印 队列 管理 能 力 。 
同时 ， 用 户 可 以 通过 它 实 现 打印 机 的 全 方位 管理 和 控制 ， 同 时 还 可 以 通过 网 络 及 时 进行 
升级 。 

2. 性 能 指标 

网 络 打 印 机 多 为 企业 、 单位 办 公所 采用 , 应 具有 较 高 的 打印 速度 和 较 好 的 打印 效果 。 
出 于 环保 和 打印 成 本 的 考虑 ， 还 应 具有 较 低 的 打印 噪声 和 较 低 的 打印 成 本 。 网 络 打印 机 
的 传统 打印 部 分 大 多 采用 激光 打印 方式 ， 一 些 特殊 情况 则 根据 需要 采用 喷 墨 或 其 他 打印 
方式 。 

网 络 打印 机 的 硬件 构成 分 为 打印 部 分 和 网 络 部 分 ， 这 两 方面 的 性 能 共同 决定 了 整 机 
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的 性 能 。 综 合 考虑 ， 有 几 个 重要 指标 是 值得 关注 的 : 打印 质量 、 打 印 速度 、 处 理 介质 能 
力 、 网 络 打印 方式 、 设 备 接口 、 兼 容 性 、 管 理 软件 和 辅助 功能 。 

(1) 打印 质量 。 打 印 质量 是 一 个 重要 的 指标 ， 随 着 人 们 处 理 数据 的 类 型 越 来 越 多 ， 
图 像 、 图 形 、 视 频 、 动 画 、CAD、CAM 和 GIS 等 高 精度 信息 内 容 的 打印 也 越 来 越 多 ， 
网 络 打 印 质 量 的 要 求 也 越 来 越 高 。 高 端 产品 与 低 端 产品 的 区 别 往往 通过 该 指标 来 体现 。 
不 同 的 用 户 对 打印 质量 有 不 同 的 需求 ， 用 户 应 根据 自身 需求 来 决定 。 

现在 600dpi 的 分 辩 率 已 是 激光 打印 机 的 最 低 标准 ， 用 户 选 购 时 应 选择 高 于 600dpi 
的 机 型 。1200dpi 的 机 型 是 一 般 用 户 的 较 好 选择 。 

(2) 打印 速度 。 网 络 打 印 机 一 般 工作 量 比较 大 ， 打 印 速度 直接 影响 办 公 效 率 。 如 果 
对 打印 速度 要 求 较 高 ， 需 选用 打印 引擎 速度 较 快 的 机 型 。 

此 外 ， 与 普通 打印 机 不 同 ， 网 络 打印 机 的 打印 速度 还 要 受到 内 置 处 理 器 速度 和 内 存 
大 小 的 影响 。 网 络 打 印 机 内 置 的 处 理 器 一 般 采 用 RISC 处 理 器 ， 工 作 频 率 从 50MHz 到 
166MHz 或 者 更 高 。 内 存 则 是 打印 机 专用 的 DIMM 内 存 ， 一 般 具 有 升级 功能 ， 以 便 日 后 
扩充 内 存 。 有 的 网 络 打印 机 还 配 有 内 置 硬盘 ， 打 印 时 一 次 读 取 打 印 数据 存储 到 硬盘 上 ， 
不 用 再 到 服务 器 上 重新 读 取 ， 从 而 提高 了 批 处 理 的 速度 。 因 此 ， 是 否 选 择 内 置 的 高 主 频 
的 处 理 器 ， 大 容量 内 存 或 硬盘 的 网 络 打印 机 ， 用 户 应 根据 自身 需求 来 决定 。 

(3) 介质 处 理 能 力 。 介 质 处 理 能 力也 是 衡量 打印 机 性 能 的 一 个 重要 方面 ， 首 先 就 是 
打印 机 可 打印 的 纸张 幅面 。 常用 的 网 络 打 印 机 的 幅面 有 A4 和 A3 两 种 , 用 户 可 以 根据 自 
己 日 常 处 理 文档 的 幅面 自行 选择 。 一 般 A3 幅面 的 机 器 价格 要 高 出 A4 幅面 的 机 器 很 多 ， 
在 选 购 时 应 本 着 够 用 的 原则 ;否则 会 造成 资源 的 浪费 。 

网 络 打 印 机 的 打印 任务 较 普 通 打 印 机 更 为 繁重 ， 因 而 它 存 储 纸张 的 数量 也 是 一 个 重 
要 指标 。 网 络 打印 机 应 有 多 种 不 同类 型 的 存 纸 匣 以 满足 不 同 需要 ， 总 容量 大 小 至 少 超过 
千张 。 另 外 ， 彩 色 激 光 打印 也 日 益 普 及 ， 不 过 价格 稍 高 。 在 这 方面 用 户 要 根据 自己 的 实 
际 情况 来 选择 。 

(4) 网 络 打印 的 方式 。 实 现 网 络 打印 目前 主要 有 两 种 : 外 置 打印 服务 器 + 网 络 打印 
机 ， 称 为 “外 置式 ” 带 内 置 打印 服务 器 的 网 络 打印 机 ， 称 为 “内 置式 ”。 两 者 的 区 别 在 
于 它们 实现 与 网 络 相连 的 方式 不 同 。 外 置式 是 通过 外 置 打 印 服务 器 来 转换 从 网 线 上 传 来 
的 打印 任务 , 然后 通过 打印 机 并 口 或 USB 口 送 到 打印 机 上 .而 内 置式 是 直接 与 网 络 相 连 ， 
打印 任务 是 直接 从 网 络 接 收 下 来 。 外 置式 传输 速率 要 受到 并 口 或 USB 口 速度 的 限制 , 内 
置式 则 直接 利用 打印 机 内 部 总 线 传输 ， 速 度 比 外 置式 快 。 外 置式 实现 方法 要 容易 些 ， 可 
以 充分 利用 已 有 的 打印 机 资源 ， 而 内 置式 则 只 能 用 于 专用 型 号 的 打印 机 。 所 以 ， 低 端的 
机 型 一 般 采 用 外 置式 的 方案 来 实现 网 络 打 印 ， 而 高 端的 机 型 则 采用 内 置 网 络 打 印 服 务 器 
实现 网 络 打 印 。 

(5) 设备 接口 。 网 络 打 印 机 内 置 打印 服务 器 时 ， 网 络 接 口 一 般 是 自 适 应 10M/100M 
的 。 可 以 直接 连接 到 企业 内 部 局 域 网 上 ， 并 且 支 持 AppleTalk、IPX/SPX 和 TCP/IP 等 网 
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络 协 议 。 兼 容 多 种 网 络 系统 平台 ， 包 括 Windows、Macintosh 和 UNIX 等 操作 系统 。 

网 络 打印 机 采用 外 置 打印 服务 器 时 ， 则 应 注意 在 接口 上 要 与 公司 实际 网 络 接口 类 型 
保持 一 致 ， 否 则 所 购买 的 打印 服务 器 乃至 打印 机 都 不 能 在 自己 的 网 络 上 使 用 。 一 般 在 打 
印 服 务 器 上 都 会 有 多 种 连接 接口 供 选 择 ， 如 RJ-45 的 “以 太 网 接口 ”和 “ 令 牌 网 ”接口 、 
BNC 的 同 轴 电 缆 接口 、 九 针 串 行 通信 接口 及 Mini-Din 8 八 芯 接口 等 。 选择 时 一 定 要 注意 
打印 服务 器 所 适应 的 接口 类 型 。 

(6) 兼容 性 。 目 前 网 络 打印 机 的 主要 生产 厂家 ， 在 打印 服务 器 标准 上 并 没有 达成 一 
致 , 也 就 是 说 彼此 还 不 能 互相 兼容 , 且 多 数 生产 厂家 把 打印 服务 器 内 置 在 打印 机 主板 上 ， 
但 也 有 少许 型 号 的 网 络 打印 机 的 打印 服务 器 是 可 选 配 的 ， 所 以 这 时 首先 就 要 看 清楚 你 所 
选 购 的 打印 服务 器 是 用 在 什么 型 号 的 网 络 打印 机 上 。 

(7) 管理 软件 。 网 络 打 印 机 与 其 他 普通 打印 机 的 一 个 主要 区 别 就 在 于 不 仅 需要 打印 
机 的 驱动 程序 ， 而 且 还 需要 一 个 网 络 打印 机 管理 软件 来 管理 网 络 打印 机 。 随 着 网 络 技术 
的 飞速 发 展 ， 网 络 打印 机 的 管理 软件 在 管理 方式 上 也 得 到 了 质 的 飞跃 ， 一 些 专业 的 打印 
机 制造 商 ， 如 HP 公司 等 就 把 网 络 打印 机 的 管理 软件 从 本 地 计算 机 搬 到 了 Web 上 了 。 如 
果 有 这 方面 的 要 求 ， 那 就 要 选择 能 应 用 此 类 管理 软件 的 网 络 打印 机 。 

(8) 辅助 功能 。 在 其 他 的 一 些 辅助 功能 上 ， 各 厂商 也 大 都 有 各 自 的 特色 ,如 EPSON 
的 “作业 平衡 和 HP 的 ColorSmart 开 等 ， 在 选择 时 应 该 多 了 解 所 选择 的 网 络 打印 机 的 此 
类 辅助 功能 。 


3.3.3 ”网络 视频 会 议 系统 


视频 会 议 系统 是 一 种 支持 远 距离 通信 ， 使 处 于 不 同 地 域 的 人 进行 实时 信息 交流 、 开 
展 协同 工作 的 应 用 系统 。 该 系统 不 仅 能 实时 传输 视频 和 音频 信息 ， 使 各 成 员 可 以 远 距离 
进行 直观 、 真 实 的 视 音 频 交 流 ， 还 可 利用 其 他 媒体 技术 的 支持 ， 帮 助 各 成 员 处 理会 议 中 
的 共享 信息 。 作 为 一 种 现代 通信 方式 ， 视 频 会 议 也 是 一 个 国家 或 地 区 通信 发 展 水 平 的 重 
要 标志 之 一 。 

1. 系统 工作 原理 

目前 在 网 络 上 运行 的 视频 会 议 按 技术 不 同 可 分 为 两 类 : 一 是 基于 单 播 网 络 和 H.323 
协议 族 的 视频 会 议 ， 二 是 基于 组 播 网 络 和 开放 软件 的 视频 会 议 。 

基于 单 播 网 络 和 HH.323 协议 族 的 视频 会 议 系 统 ， 通 过 多 点 控制 单元 (MCU) 建立 视 
频 会 议 网 络 的 控制 平台 ， 实 现 视频 会 议 终端 任意 多 点 的 视频 会 议 功能 。 从 理论 上 说 ， 只 
要 了 Pp 网 络 铺设 到 的 地 方 均 可 以 安装 视频 会 议 终端 , 成 为 会 议 室 或 远程 会 议 点 。 多 点 视频 
会 议 的 实施 还 需要 做 很 多 工作 , 如 通过 BGP 调整 配置 来 保证 视 音频 数据 传输 流畅 , 使 用 
基于 LDAP 协议 的 分 布 式 目录 服务 完成 动态 地 址 之 间 的 通信 等 ， 以 保证 高 质量 视频 会 议 
的 完成 。 

基于 卫 组 播 网 络 的 视频 会 议 系 统 利用 卫 组 播 (Multicast) 技术 可 构建 具有 组 播 能 
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力 的 网 络 。 组 播 允许 路 由 器 一 次 将 数据 包 复 制 到 多 个 通道 上 ， 降 低 了 网 络 带宽 要 求 ， 有 
效 节省 传输 带宽 ， 这 对 于 需要 在 多 点 之 间 传 输 流 媒体 的 视频 会 议 尤其 具有 重要 意义 。 同 
时 ，JP 组 播 视频 会 议 系统 平台 不 需要 MCU， 通 过 软件 来 实现 视频 会 议 终端 任意 多 点 的 
视频 会 议 功能 ， 大 大 节省 了 系统 成 本 。 

典型 的 H.323 协议 体系 涉及 终端 设备 、 视 频 、 音 频 和 数据 传输 、 通 信 控 制 、 网 络 接 
口 方面 的 内 容 ， 还 包括 了 组 成 多 点 会 议 的 多 点 控制 单元 、 网 关 (GW) 以 及 网 守 (GK) 
等 设备 。 

视频 终端 包括 可 软件 升级 的 了 323 编码 器 、 摄 像 机 、 话 简 和 屏幕 等 。 

网 关 的 主要 功能 是 信 令 处 理 H.323 协议 功能 、 语 音 编码 和 解码 以 及 路 由 协议 处 理 等 
功能 ， 对 外 分 别提 供与 PSTN 连接 的 中 继 接 口 以 及 和 人 P 网 络 连接 的 接口 。 

网 守 的 主要 功能 是 地 址 解析 、 带 宽 管理 、 用 户 认 证 、 路 由 管理 、 安 全 管理 和 区 域 
管理 。 

多 点 控制 单元 用 于 支持 三 个 以 上 端点 设备 的 会 议 。 在 H.323 系统 中 ， 一 个 多 点 控制 
单元 由 一 个 多 点 控制 器 〈(MC) 和 几 个 多 点 处 理 器 (MP) 组 成 ， 可 以 不 包含 MP。 

2. 解决 方案 

现 阶段 视频 会 议 系 统 解决 方案 主要 有 硬件 和 软件 两 类 , 两 者 各 有 其 特点 。 一 般 而 言 ， 
硬件 视频 系统 图 像 质量 高 ， 价 格 比 软件 视频 系统 高 出 许多 倍 ， 对 各 个 节点 也 有 硬件 环境 
要 求 。 

1) 基于 硬件 的 视频 会 议 系统 

随 着 网 络 技术 的 不 断 发 展 ， 视 频 会 议 网 络 端 设 备 技术 也 不 断 发 展 ， 传 统 的 语音 采用 
PSTN 传输 、 视 频 采 用 ISDNGH.320) 的 传输 方式 最 终 被 卫 〈H.323) 网 络 传输 所 代替 。 基 
于 IP 技术 的 视频 会 议 系统 为 用 户 提供 语音 、 视 频 和 数据 的 三 网 合 一 的 服务 。 硬 件 会 议 
系统 的 主要 技术 特点 如 下 。 

(1) 符合 国家 规定 的 行业 技术 标准 ， 如 ITU-T 的 HH.323、H.320 标准。 

(2) 音频 支持 G711、G722 和 G728 等 协议 。 

(3) 视频 支持 H.261、H.263、H.263+ 和 H.264 等 协议 。 

(4) 采用 MCU 控制 管理 ，MCU 具有 可 扩展 性 。 

(5) 具有 双 视 、 双 流 等 新 功能 。 

硬件 视频 会 议 系 统 由 于 采用 的 是 硬件 编 解码 技术 ， 要 求 的 网 络 带宽 在 384K 以 上 ， 
具有 良好 的 显示 效果 ， 因 此 ， 显 示 终 端 多 采用 大 屏幕 电视 机 和 投影 机 。 

2) 基于 软件 的 视频 会 议 系 统 

软件 视频 会 议 可 以 利用 现 有 的 Intemet 环境 和 计算 机 设备 ， 能 够 提供 较 高 的 音 视 频 
质量 和 更 为 丰富 的 数据 协作 功能 。 软 件 会 议 系 统 主要 的 技术 特点 如 下 。 

(1) 兼容 ITU-T 的 H323、H.320 标准 。 

(2) 视频 支持 MPEG4、H.264 等 视频 压缩 算法 。 
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(3) 音频 采用 G723.1、G711 和 GIPS 压缩 算法 。 

(4) 采用 服务 器 作为 MCU， 通 用 性 好 。 

软件 的 视频 会 议 系 统 着 力 于 解决 低 带宽 下 的 网 络 视 频 会 议 的 需要 ， 主 动 降低 了 图 像 
的 传送 帧 数 和 分 辨 率 ( 对 应 关系 如 表 3-8 所 示 )， 因 此 显示 终端 常 采用 计算 机 显示 屏 ， 在 
网 络 带 宽 较 高 且 比 较 稳定 的 情况 下 ， 也 可 采用 大 屏幕 电视 或 投影 机 。 


表 3-8 带宽、 帧 数 和 分 辨 率 对 应 关系 表 


带 宽 图 像 分 辩 率 传输 速率 〈 帧 / 秒 ) 
0X480 
384K 以 上 Sa 
CIF (352X288) 30 
1 
128~384K 
320- 
5 05 
sk 4 
3. 网 络 视频 会 议 系 统 选 型 
1) 制定 具体 需求 


(1) 要 考虑 是 上 软件 视频 还 是 硬件 视频 会 议 系统 ， 还 是 软件 硬件 相 结 合 。 

(2) 要 考虑 是 需要 国外 知名 品牌 产品 , 还 是 国内 知名 产品 , 还 是 基本 实现 视频 功能 。 

(3) 确定 视频 会 议 同时 在 线 的 点 数 〈 尤 其 是 对 软件 视频 会 议 ， 因 为 很 多 点 都 可 以 装 
客户 端的 )， 硬 件 则 以 建设 的 会 议 室 数 或 办 公 室 数 来 确定 。 

(4) 确定 视频 会 议 网 络 情况 ， 主 要 是 内 部 局 域 网 还 是 专线 网 ， 还 是 因特网 。 

(5) 确定 会 议 带 宽 (一 般 是 384K、768K、1M、1.5M、2M、4M、8M 等 ， 以 768K、 
1M、1.5M、2M 为 多 )。 

(6) 确定 是 否 需 要 高 清 视频 。 

(7) 判断 是 否 需要 双流 ， 主 要 是 计算 机 资料 或 第 二 路 视频 显示 使 用 ， 多 用 在 数据 会 
议和 远程 培训 上 。 

(8) 判断 是 否 需要 远 控 〈 主 要 是 远程 控制 摄像 机 )。 

(9) 如 果 是 硬件 视频 会 议 终端 ， 判 断 是 需要 机 项 盒 式 产品 还 是 分 体式 产品 。 

(10) 注意 不 同 品牌 的 视频 会 议 终端 摄像 机 的 配置 情况 ， 是 内 置 还 是 外 购 。 

(11) 是 否 需 要 会 议 录制 、 点 播 或 直播 功能 。 

(12) 如 果 是 硬件 视频 会 议 ， 判断 是 否 需要 电视 墙 功 能 (就 是 将 从 MCU 取得 的 信号 
分 路 独立 显示 在 不 同 的 监视 设备 上 )。 

2) 设备 选 型 原则 

(1) 关键 设备 选用 基于 IP 的 网 络 视频 会 议 产 品 ， 符 合 当前 视频 会 议 系统 发 展 方向 。 
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(2) 系统 具备 多 媒体 通信 应 用 平台 的 特性 ， 可 扩展 性 强 ， 能 满足 未 来 发 展 要 求 。 

(3) 视频 方面 支持 MPEG-4 压缩 技术 ， 支 持 多 种 视频 格式 ， 支 持 多 分 屏 显 示 及 任意 
切换 。 若 需 高 清 视 频 ， 则 系统 需 支持 H.264 视频 标准 。 

(4) 音频 方面 语音 清晰 流畅 ， 支 持 音频 双向 传输 。 

(5) 具备 必要 的 辅助 功能 ， 如 电子 白板 、 远 程 PPT 等 。 

(6) 界面 友好 、 使 用 方便 、 操 作 简捷 。 

4. 系统 部 署 实例 

网 络 视频 会 议 系 统 部 署 实例 如 图 3-10 所 示 。 


最 像 头 视频 会 议 硬件 终端 


视频 会 议 硬件 终端 “摄像头 ) 
第 1 会 声 


Internet 


yy 


多 点 控制 单元 
MCU 
主 会 场 


视频 会 议 硬件 终端 “摄像头 “ 屏 划 
第 n 会 志 


图 3-10 网络 视频 会 议 系 统 


1) 设备 配置 

由 两 部 分 组 成 ， 即 主 会 场 的 设备 和 分 会 场 的 设备 。 主 会 场 的 设备 包括 服务 器 〈 多 点 
控制 单元 )、 屏 幕 、 视 频 会 议 硬件 终端 、 摄 像 头 〈 或 摄像 机 )、 麦 克 风 和 音箱 ; 分 会 场 的 
设备 包括 视频 会 议 硬件 终端 、 屏 幕 、 高 速球 机 、 麦 克 风 和 音箱 。 

2) 系统 结构 组 成 

(1) 主 会 场 : 核心 设备 视频 服务 器 、 视 频 会 议 硬件 终端 。 视 频 信 号 和 音频 信号 通过 
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视频 会 议 硬件 终端 传输 到 网 络 中 。 系 统 服务 器 端 软件 安装 在 主 会 场 ， 并 在 主 会 场 控 制 端 
计算 机 里 安装 客户 端 软件 ， 管 理 员 可 通过 视频 软件 随意 跟 任 何 一 个 分 会 场 的 参 会 人 员 通 
话 ， 并 且 可 以 通过 监控 软件 对 分 会 场 的 图 像 和 声音 进行 控制 。 

〈2) 分 会 场 : 核心 设备 是 视频 会 议 硬件 终端 ， 视 频 信号 和 音频 信号 直接 通过 视频 会 
议 硬件 终端 与 网 络 连接 。 视 频 会 议 硬件 终端 与 分 会 场 的 屏幕 相连 ， 分 会 场 的 与 会 人 员 可 
以 通过 麦克 风 与 主 会 场 的 人 员 通 话 ， 主 会 场 的 图 像 和 声音 可 以 通过 电视 和 音箱 来 接收 。 


3.3.4 网 络 电话 系统 


网 络 电话 系统 是 一 种 利用 VoIP (Voice over Intemet Protocol) 技术 ， 透 过 因特网 实 
时 传输 音频 信息 及 实现 双边 对 话 的 网 络 应 用 系统 。 网 络 电话 系统 一 般 包括 语音 网 关 、 网 
守 、 网 络 电话 机 等 设备 。 

语音 网 关 扮 演 公众 电话 网 络 与 卫 网络 间 的 桥梁 角色 , 负责 不 同 网 络 之 间 信 令 和 控制 
信息 的 转换 以 及 媒体 信息 变换 和 复 用 。 它 的 主要 功能 有 语音 的 压缩 /解压 缩 、 封 包 化 、 封 
包 遗 失 补正 、 回 音 的 消除 、 计 费 和 与 网 络 流量 的 监控 等 。 有 时 也 含有 网 关 管 理 的 功能 ， 
如 安全 查验 、 用 户 授权 、 保 存 通话 记录 资料 、 频 宽 的 动态 管理 、 实 时 性 的 网 络 资源 管理 
和 平衡 流量 等 。 网 守 处 于 高 层 ， 提 供 对 端点 〈 终 端 、 网 关 、 多 点 控制 单元 统称 为 端点 ) 
和 呼叫 的 管理 功能 ， 是 网 络 电话 系统 中 的 重要 管理 实体 。 网 守 有 地 址 解析 、 接 入 控制 、 
带宽 管理 和 区 域 管理 这 4 项 基本 功能 。 此 外 ， 还 能 提供 呼叫 控制 信 令 、 呼 叫 管理 等 其 他 
功能 。 网 络 电话 机 是 在 人 P 网 络 上 遵循 一 定 的 协议 标准 进行 实时 通信 的 端点 设备 。 

1. 方案 及 设备 选 型 

对 于 网 络 电话 的 部 署 ， 有 不 同 的 通信 方案 ， 根 据 具 体 需 求 在 不 同情 况 下 又 需要 采取 
不 同 的 组 网 方案 和 设备 。 目 前 网 络 电话 系统 涉及 的 产品 包括 IP 网 关 、IP PBX (IP 电话 
交换 机 ) 和 PC PBX (基于 PC 服务 器 的 小 型 P 电话 交换 机 )。 

1) 方案 一 “VoIP 网 关 + 网 守 +PBX+ IP 电话 /模拟 电话 

VoIP 网 关 提 供 传统 的 语音 接口 , 与 企业 现 有 的 电话 交换 机 (PBX) 或 集团 电话 连接 ， 
同时 连接 人 P 网 络 ， 完 成 模拟 语音 信号 与 卫 数据 信号 之 间 的 相互 转换 。 其 主要 特点 是 充 
分 利用 现 有 的 网 络 资源 ， 节 省 用 户 的 长 途 话 费 ， 与 现 有 的 传统 电话 交换 机 或 集团 电话 相 
结合 ， 可 以 将 传统 语音 电话 转移 到 IP 电话 上 。VoIP 网 关 产品 作为 一 种 成 熟 的 卫 电话 解 
决 方 案 , 在 许多 大 型 单位 中 也 得 到 应 用 。 同 时 , 一 些小 型 VoIP 网 关 产 品 的 出 现 ， 也 会 给 
中 小 型 用 户 带 来 极 大 好 处 。 这 类 产品 一 般 能 够 提供 1 路 、4 路 或 8 路 电话 中 继 接口 ， 同 
时 提供 简单 的 路 由 功能 和 网 络 接 口 ， 能 够 方便 地 将 单位 分 支 机 构 的 电话 交换 机 或 集团 电 
话 通过 人 P 网 络 连接 起 来 。 

VoIP 网 关 型 的 应 用 是 将 正 语 音 网 关 的 专用 接口 同 总 部 或 分 支 机 构 的 PBX 直接 相连 ， 
当 需 要 打 长 途 电话 时 ,将 话音 转 到 VoIP 网 关上 ,通过 因特网 传输 。 用 户 在 使 用 时 只 需 在 
分 机 上 先 拨 他 电话 特 服 号 ， 便 可 直接 拨打 PP 电话 。 
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在 这 个 方案 中 ， 若 要 像 普通 电话 那样 数字 号 码 拨号 ， 就 得 经 过 网 守 的 路 由 管理 ， 这 
种 设备 较 昂贵 ， 小 型 单位 可 借用 电信 运营 公司 的 网 守 来 实现 ， 否 则 只 能 拨打 IP 号 。 网 守 
处 于 高 层 ， 提 供 对 端点 的 呼叫 管理 功能 。 

2) 方案 二 卫 PBX+HPBX+ IP 电话 /模拟 电话 

IP PBX 是 一 种 基于 IP 的 电话 交换 系统 ， 具 有 传统 PBX 交换 机 的 所 有 功能 ， 它 的 目 
标 是 取代 单位 内 部 原 有 的 PBX。 这 个 系统 可 以 完全 将 话音 通信 和 集成 到 IP 网 络 中 ， 从 而 
建立 能 够 连接 分 布 各 地 办 公 地 点 和 员工 的 统一 语音 数据 网 络 。 IP PBX 最 显著 的 特征 是 一 
个 集成 通信 系统 ， 通 过 因特网 ， 仅 需要 单一 设备 即 可 为 用 户 提供 语音 、 传 真 、 数 据 和 视 
频 等 多 种 通信 和 方式， 建立 中 、 小 型 的 呼叫 中 心 。 在 采用 IP-PBX 构建 的 VoIP 平台 上 ,用 
户 具 有 可 移动 的 特性 ， 形 象 地 说 ， 就 是 同一 个 用 户 在 A 地 用 的 是 011 的 号 码 , 到 了 B 地 
还 是 011 的 号 码 ， 号 码 随 着 人 走 。IP-PBX 还 支持 语音 信箱 、 多 方 会 议和 视频 会 议 等 传统 
PBX 没有 的 功能 ， 有 助 于 移动 办 公 和 异地 协同 办 公 。 

在 总 部 和 分 支 机 构 均 部 署 耻 PBX， 内 部 人 员 可 以 使 用 了 P 电话 或 是 普通 模拟 电话 连 
接 到 不 同 的 全 PBX 上 。 对 于 经 常 出 差 的 人 士 , 可 以 使 用 SIP 的 软件 电话 , 通过 笔记 本 计 
算 机 实现 移动 通话 。 

车 总 部 和 所 有 分 支 单位 都 是 使 用 固定 公 网 IP 上 因特网 ， 各 点 的 IP PBX 就 可 以 通过 
IP 对 IP 实现 “点 对 点 ”通信 ， 能 直接 找到 双方 。 若 使 用 的 是 浮动 卫 ， 卫 不 断 变 化 就 需 
要 通过 网 守 来 进行 地 址 解析 了 ,浮动 他 节点 会 在 卫 变更 时 向 GateKeeper 进行 卫 更 新 的 
通知 动作 。 若 IP PBX 集成 有 网 守 或 可 添加 网 守 模块 ， 那 网 守 可 由 总 部 设 定 ; 若 没 有 ， 
则 需要 通过 注册 GateKeeper 虚拟 运营 商 来 解决 。 

3) 方案 三 “PC PBX+PBX+ IP 电话 /模拟 电话 

基于 IP PBX 交换 机 的 平台 虽然 较 稳 定 ， 但 价格 昂贵 ， 规 模 较 小 的 单位 可 能 无 法 接 
受 。 虽 然 这 些 单位 自身 的 规模 较 小 ， 但 同样 也 需要 稳定 、 性 能 好 的 系统 的 保证 。 于 是 ， 
PC PBX 应 运 而 生 ， 业 界 通常 称 为 “应 用 服务 器 ”。 这 类 系统 基于 PC 服务 器 单独 用 电话 
板 卡 加 软件 实现 了 PBX、 自 动 电话 应 答 (IVR) 和 自动 呼叫 分 配 〈ACD) 等 功能 。 

PC PBX 综合 了 VoIP 网 关 和 IP PBX 的 特点 ， 可 以 使 用 现 有 电话 线路 和 电话 机 ， 使 
用 VoIP 板 卡 实现 跨 IP 网 络 的 长 途 电 话 。PC PBX 产品 提供 了 灵活 拓展 的 余地 ， 使 得 用 
户 能 得 到 功能 丰富 的 人 P 通信 ， 且 无 须 高 昂 的 费用 成 本 。 

构建 基于 PC 服务 器 + 呼叫 管理 软件 的 PC PBX 系统 作为 在 总 部 设立 内 部 IP 电话 网 
的 控制 中 心 (PC PBX)。 该 控制 中 心 以 软件 方式 工作 ， 安 装 在 一 台 服 务 器 内 ， 采 用 数字 
中 继 网 关 与 原 有 PBX 的 El 中 继 接口 相连 。 在 控制 中 心 的 服务 器 上 对 人 P 电话 号 码 进行 
分 配 ， 或 对 原 分 机 电话 的 拨号 方式 进行 设 定 。 在 各 分 支 机 构 安 装 他 话机 或 语音 网 关 , 根 
据 实际 需求 为 卫 话机 、 语 音 网 关 配 置 公 网 电话 号 码 。 

该 方案 除 安装 和 配置 都 非常 简便 外 , 还 具有 良好 的 可 扩展 性 , 在 带宽 许可 的 范围 内 ， 
直接 加 装 语音 网 关 并 分 配 号 码 , 便 可 立刻 实现 电话 扩容 。 在 保持 原 PBX 编号 方案 不 变 的 
情况 下 ， 系 统 内 通话 只 需 拨 分 机 号 。 
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2. 系统 部 署 实例 

关键 设备 ， 在 总 部 部 署 网 关 和 网 守 设备 各 一 台 ， 各 分 部 部 署 一 台 网 关 。 语 音 网 关 提 
供 了 El 中 继 接 口 和 模拟 接口 ， 同 时 提供 简单 的 路 由 功能 和 网 络 接口 ， 方 便 地 将 各 分 部 
的 电话 通过 人 P 网 络 连 接 起 来 。 网 守 负 责 实 现 地 址 解析 、 接 入 控制 、 带 宽 管理 和 区 域 管理 
等 核心 控制 功能 ， 如 图 3-11 所 示 。 


网 守 


CF 
;2 Cy 普通 电话 机 


IP 电 话机 


第 1 分 部 


车 音 网 关 


D3 Internet 
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普通 电话 机 普通 电话 机 
总 部 IP 电 话机 (% 
普通 电话 机 


图 3-11 网 络 电话 结构 图 


功能 : 实现 个 分 部 VoIP 通话 ， 各 分 部 内 部 也 能 实现 各 自 的 VoIP 通话 。 

号 码 规划 : 一 般 有 两 种 号 码 规划 方法 ， 一 种 是 纯 的 VoIP 电话 方案 ， 自 定义 本 单位 
内 部 的 VoIP 电话 号 码 ; 另 一 种 是 使 用 原 有 的 电信 市 话 号 码 作为 VoIP 电话 的 电话 号 码 ， 
并 做 “1 : 1 绑 定 ”% 

(1) 自 定义 VoIP 电话 号 码 方案 。 这 种 方案 一 般 使 用 三 位 或 四 位 数字 来 规划 ， 号 码 
随意 制定 。 这 种 “ 纯 ” 的 VoIP 电话 组 网 ， 也 就 是 没有 接 入 市 话 线路 ， 因 此 不 需 跟 市 话 
号 码 做 “1 : 1 绑 定 ”。 采 用 自 定义 三 位 〈 数 字 ) 小 号 ， 在 前 面 加 各 市 区 号 来 组 合成 VoIP 
电话 号 码 ， 本 地 〈 指 语音 网 关内 部 ) 通话 直拨 小 号 ， 跨 市 局 通话 ， 前 面 加 拨 区 号 ， 由 网 
守 来 路 由 。 

(2) 使 用 原 有 电信 市 话 号 码 作为 对 应 的 VoIP 电话 号 码 。 这 种 方案 使 用 桌面 电话 的 
原 有 电信 市 话 号 码 作为 内 部 VoIP 电话 的 号 码 , 这 样 最 终 使 用 电话 的 用 户 还 是 按照 原来 拨 
号 方式 打 电 话 , 用 户 并 不 知 在 打 的 电话 是 经 过 IP 网 络 还 是 经 过 电信 公司 的 市 话 线路 。 在 
VoIP 网 络 通畅 时 ， 电 话 是 优先 经 过 VoIP 链 路 通话 的 ， 只 有 在 VoIP 出 现 故 障 或 打 外 线 电 
话 时 ， 才 会 通过 电信 公司 市 话 线路 通话 。 
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4.1 恶意 代码 
4.1.1 恶意 代码 的 定义 与 分 类 


1. 恶意 代码 的 定义 

未 经 用 户 授权 便 干扰 或 破坏 计算 机 系统 /网 络 的 程序 或 代码 被 称 之 为 恶意 软件 
(malware) 或 恶意 代码 。malware 这 个 单词 来 自 于 malicious 和 software 两 个 单词 的 合成 ， 
是 恶意 软件 的 专业 术语 ， 专 指 那些 泛滥 于 网 络 中 的 恶意 代码 。 

恶意 代码 具有 如 下 共同 特征 。 

(1) 具有 恶意 的 目的 。 

(2) 自身 是 计算 程序 。 

(3) 通过 执行 发 生 作 用 。 

2. 恶意 代码 分 类 

恶意 代码 包含 的 种 类 很 多 ， 主 要 类 型 有 计算 机 病毒 、 网 络 蠕虫 、 特 洛 伊 木马 、 后 门 、 
DDoS 程序 、 僵 尸 程序 、Rootkit、 黑 客 攻击 工具 、 间 谍 软 件 、 广 告 软件 、 垃 圾 邮件 和 弹 
出 窗 体 程序 等 。 

(1) 计算 机 病毒 。 计 算 机 病毒 (computer virus) 最 早 是 由 美国 计算 机 病毒 研究 专家 
F.Cohen 博士 提出 的 。 计 算 机 病毒 的 定义 有 多 种 ， 较 为 通用 的 定义 为 : 计算 机 病毒 是 一 
段 附着 在 其 他 程序 上 的 、 可 以 自我 繁殖 的 程序 代码 。 复 制 后 生成 的 新 病毒 同样 具有 感染 
其 他 程序 的 功能 。 

1994 年 2 月 18 日 ， 我 国正 式 颁 布 实施 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保 
护 条 例 》， 在 《条 例 》 第 二 十 八条 中 明确 指出 :“ 计 算 机 病毒 ， 是 指 编制 或 者 在 计算 机 程 
序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 响 计 算 机 使 用 ， 并 能 自我 复制 的 一 组 计算 
机 指令 或 者 程序 代码 ”。 此 定义 具有 法 律 性 、 权 威 性 。 

随 着 网 络 的 快速 发 展 ， 计 算 机 病毒 的 传播 行为 和 感染 方式 也 开始 逐渐 发 生 改 变 ， 笔 
者 对 计算 机 病毒 定义 如 下 。 

计算 机 病毒 是 一 段 可 以 通过 自我 传播 的 破坏 性 程序 或 代码 ， 其 需要 用 户 的 干预 来 触 
发 执行 ， 通 常 其 使 用 系统 的 正常 功能 进行 传播 。 

(2) 网 络 蠕虫 。 网 络 蠕虫 是 一 段 可 以 通过 网 络 进行 自我 传播 的 破坏 性 程序 或 代码 ， 
其 不 需要 用 户 的 干预 来 触发 执行 。 其 通常 利用 系统 漏洞 进行 传播 ， 因 而 其 可 以 直接 获得 
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对 方 系统 的 控制 权 而 自动 执行 蠕虫 代码 或 程序 。 

(3) 特洛伊 木马 。 特洛伊 木马 是 一 个 程序 , 它 看 起 来 具有 某 个 有 用 的 或 善意 的 目的 ， 
但 是 实际 上 掩盖 着 一 些 隐藏 的 恶意 功能 。 其 欺骗 用 户 或 者 系统 管理 员 安 装 ， 或 者 在 计算 
机 上 与 “正常 ”的 程序 一 起 混合 运行 ， 将 自己 伪装 得 看 起 来 属于 该 系统 。 

特洛伊 木马 通常 由 被 控制 端 和 控制 端 组 成 ， 其 对 用 户 的 个 人 隐私 和 机 密 数 据 造成 极 
大 威胁 。 

(4) 后 门 。 后 门 是 一 个 允许 攻击 者 绕 过 系统 中 常规 安全 控制 机 制 的 程序 ， 它 按照 攻 
击 者 自己 的 意图 提供 通道 。 后 门 的 重点 在 于 为 攻击 者 提供 进入 目标 计算 机 的 通道 。 

(5) DDoS 程序 。 分 布 式 拒绝 服务 (Distributed Denial of Service，DDoS) 攻击 是 指 
借助 于 客户 端 /服务 器 技术 ,将 多 个 计算 机 联合 起 来 作为 攻击 平台 ,对 一 个 或 多 个 目标 发 
动 DoS 攻击 ， 从 而 成 倍 地 提高 拒绝 服务 攻击 的 威力 。 它 是 一 种 分 布 、 协 作 的 大 规模 攻击 
方式 ， 主 要 瞄准 比较 大 的 站 点 ， 像 商业 公司 、 搜 索引 擎 和 政府 部 门 的 站 点 。 图 4-1 描述 
了 传统 的 DDoS 模型 。 


Target Server 


Handler Attacker 


图 4-1 传统 的 DDoS 模型 


C6) 僵尸 程序 (bot)。 人 和 僵尸 程 序 是 秘密 运行 在 被 控制 计算 机 中 、 可 以 接受 指定 命令 
和 执行 指定 功能 的 程序 。 僵 尸 程序 和 命令 控制 服务 器 、 控 制 者 一 起 组 成 的 可 通信 、 可 控 
制 的 网 络 被 称 为 僵尸 网 络 (Botnet)。 控 制 者 可 以 通过 命令 控制 服务 器 对 僵尸 网 络 中 的 僵 
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尸 计算 机 发 送 命令 、 进 行 控 制 ， 图 4-2 描述 了 Botnet 的 基本 网 络 结构 。 根 据 命令 控制 所 
使 用 的 协议 的 不 同 , 伪 尸 网 络 又 可 分 为 [RC Bot AOL Bot 和 P2P Bot 等 。 其 中 , IRC Bot 
最 为 常见 。 


Botnet 


图 4-2 ”Botnet 的 基本 网 络 结构 


僵尸 网 络 与 其 他 攻击 方式 最 大 的 区 别 在 于 攻击 者 和 僵尸 主机 之 间 存 在 着 一 对 多 的 
控制 关系 ， 而 正 是 这 种 一 对 多 的 控制 关系 ， 使 得 攻击 者 能 够 以 极 低 的 代价 高 效 地 控制 大 
量 的 资源 并 为 其 服务 ， 这 也 是 僵尸 网 络 攻击 模式 近年 来 受到 黑客 青睐 的 根本 原因 。 

《7) Rootkit。Rootkit 通过 修改 现 有 的 操作 系统 软件 ， 使 攻击 者 获得 访问 权 并 隐藏 在 
计算 机 中 。 

(8) 黑客 攻击 工具 。 黑 客 攻击 工具 是 指 可 以 用 来 协助 攻击 者 入 侵 计 算 机 系统 的 一 系 
列 工具 的 集合 。 包 括 各 种 扫描 器 、Exploit 和 密码 嗅 探 工具 。 

(9) 间谍 软件 。 间 谍 软 件 是 一 种 能 够 在 用 户 不 知情 的 情况 下 ， 在 其 计算 机 上 安装 后 
门 、 收 集 用 户 信息 的 软件 。 用 户 的 隐私 数据 和 重要 信息 会 被 “后 门 程序 ”捕获 ， 并 被 发 
送 给 黑客 、 商 业 公司 等 。 这 些 “ 后 门 程序 ”甚至 能 使 用 户 的 计算 机 被 远程 操纵 ， 组 成 庞 
大 的 “僵尸 网 络 ?， 这 是 目前 网 络 安全 的 重要 隐患 之 一 。 

(10) 广告 软件 。 广 告 软件 是 指 未 经 用 户 允 许 ， 下 载 并 安装 或 与 其 他 软件 捆绑 通过 
弹出 式 广告 或 以 其 他 形式 进行 商业 广告 宣传 的 程序 。 安 装 广告 软件 之 后 ， 往 往 造 成 系统 
运行 缓慢 或 系统 异常 。 此 类 软件 往往 会 强制 安装 并 无 法 卸载 ; 在 后 台 收 集 用 户 信息 牟利 ， 
危及 用 户 隐私 ， 频繁 弹出 广告 ， 消 耗 系统 资源 ， 使 其 运行 变 慢 等 。 

(11) 垃圾 邮件 (spam)。 一 般 来 说 ， 凡 是 未 经 用 户 许可 就 强行 发 送 到 用 户 邮 箱 中 的 
任何 电子 邮件 都 是 垃圾 邮件 。 垃 圾 邮件 可 以 分 为 良性 的 和 恶性 的 。 良 性 垃圾 邮件 是 各 种 
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宣传 广告 等 对 收 件 人 影响 不 大 的 信息 邮件 ， 亚 性 垃圾 邮件 是 指 具 有 破坏 性 的 电子 邮件 。 
垃圾 邮件 占用 大 量 的 网 络 带宽 ， 造 成 邮件 服务 器 拥塞 ;侵犯 收 件 人 的 隐私 权 ， 其 诈 收 件 
人 ; 严重 影响 ISP 服务 形象 ， 还 常常 被 黑客 利用 ， 对 PC 造成 严重 破坏 。 

(12) 弹出 窗 体 (popups)。 弹 出 窗 体 通常 存在 于 广告 或 其 他 商业 服务 ， 它 出 人 意料 
地 弹出 到 你 的 屏幕 上 。 跟 垃圾 邮件 一 样 烦人 ， 且 有 些 具有 破坏 性 。 

在 对 恶意 代码 的 分 类 上 ， 特 别 是 在 对 病毒 和 蠕虫 的 区 分 上 ， 存 在 各 种 不 同 的 理解 。 
例如 ， 反 病毒 公司 通常 将 所 有 的 恶意 代码 都 归于 病毒 集合 之 中 。 如 有 些 反 病毒 公司 对 蚂 
虫 定义 是 以 “网 络 复制 过 程 是 否 主动 ”为 依据 来 区 分 网 络 蠕虫 与 传统 病毒 。 而 本 文中 是 
以 其 是 否 需 要 人 为 干预 来 触发 执行 ， 是 否 使 用 了 系统 漏洞 为 判断 依据 。 


4.1.2 常见 的 恶意 代码 命名 规则 


反 病 毒 公司 为 了 方便 管理 ， 会 按照 恶意 代码 的 特性 ， 将 恶意 代码 进行 分 类 命名 。 虽 
然 每 个 反 病毒 公司 的 命名 规则 都 不 太一 样 ， 但 大 体 都 是 采用 一 个 统一 的 命名 方法 来 命名 
的 。 目 前 绝 大 多 数 反 病毒 公司 将 所 有 的 恶意 代码 都 纳入 在 计算 机 病毒 范畴 内 ， 因 此 在 本 
节 出 现 的 病毒 是 指 广义 上 的 计算 机 病毒 ， 即 恶意 代码 。 

恶意 代码 的 一 般 命名 格式 为 : 


< 恶意 代码 前 级 > .< 恶意 代码 名 称 > .< 恶意 代码 后 级 > 


恶意 代码 前 级 是 指 一 个 恶意 代码 的 种 类 ， 它 是 用 来 区 别 恶 意 代码 的 种 族 分 类 的 。 不 
同 种 类 的 恶意 代码 ， 其 前 绥 也 是 不 同 的 。 例 如 ， 常 见 的 木马 程序 的 前 绥 是 Trojan、 网 络 
里 虫 的 前 绥 是 Worm 等 。 前 级 表示 了 该 病毒 发 作 的 操作 平台 或 者 病毒 的 类 型 ,如 Macro、 
PE、Win32、Win95、VBS、BackDoor、Trojan 和 Worm 等 。 

如 果 没有 前 级 ， 一 般 表示 DOS 操作 系统 下 的 病毒 。 

恶意 代码 名 称 是 指 一 个 恶意 代码 的 家 族 特 征 ， 是 用 来 区 别 和 标识 恶意 代码 家 族 的 ， 
如 著名 的 CIH 病毒 的 家 族 名 都 是 统一 的 CIH、 振 荡 波 蜂 虫 的 家 族 名 是 Sasser。 

恶意 代码 后 级 是 指 一 个 恶意 代码 的 变种 特征 ， 是 用 来 区 别 具 体 某 个 家 族 恶 意 代 码 的 
某 个 变种 的 。 一 般 都 采用 英文 中 的 26 个 字母 来 表示 ， 如 Worm.Sasser.b 就 是 指 振荡 波 蠕 
虫 的 变种 B， 因 此 一 般 称 为 “振荡 波 B 变种 ”或 者 “振荡 波 变 种 B”。 如 果 该 恶意 代码 
变种 非常 多 (也 表明 该 病毒 生命 力 奖 强 )， 可 以 采用 数字 与 字母 混合 表示 变种 标识 。 

综 上 所 述 ， 一 个 恶意 代码 的 前 级 对 于 快速 地 判断 该 程序 属于 哪 种 类 型 的 恶意 代码 是 
有 非常 大 的 帮助 的 。 通 过 判断 恶意 代码 的 类 型 ， 就 可 以 对 这 个 恶意 代码 有 个 大 概 的 评估 
(当然 ， 这 需要 积累 一 些 常 见 恶意 代码 类 型 的 相关 知识 )。 而 通过 恶意 代码 名 可 以 利用 查 
找 资 料 等 方式 进一步 了 解 该 恶意 代码 的 详细 特征 。 恶 意 代码 后 绥 能 让 用 户 或 者 反 病 毒 工 
作者 知道 恶意 代码 是 哪个 变种 。 

下 面 附带 一 些 常见 的 恶意 代码 前 组 的 解释 〈 针 对 用 得 最 多 的 Windows 操作 系统 )。 
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(1) 系统 病毒 。 系 统 病毒 的 前 级 为 Win32、PE、Win95、W32 和 W95 等 。 这 些 病 毒 
的 一 般 公 有 的 特性 是 可 以 感染 Windows 操作 系统 的 *.exe 和 *.dll 文件 ,并 通过 这 些 文 件 
进行 传播 。 如 CIH (Win32.cih)、FUNLOVE (Win32.Funlove)。 

(2) 网 络 蠕虫 。 网 络 蠕 虫 的 前 级 是 Worm。 这 种 恶意 程序 的 公有 特性 是 通过 网 络 或 
者 系统 漏洞 进行 传播 ， 很 大 部 分 的 网 络 蠕虫 都 有 向 外 发 送 带 毒 邮件 、 阻 塞 网 络 的 特性 。 
如 Worm.Sasserf、Worm.Blaster.g。 

(3) 特洛伊 木马 程序 。 木 马 病 毒 的 前 缀 是 Trojan。 木 马 病毒 的 公有 特性 是 通过 网 络 
或 者 系统 漏洞 进入 用 户 的 系统 并 隐藏 ， 然 后 向 外 界 泄 露 用 户 的 信息 。 如 Trojan.QQ3344、 
BackdoorNeThief 10、HackNetherClient、BackdoorNethiefyi、BackdoorNeThief 10.a 和 
Trojan.Pwd.Oicq.c.enc。 

(4) 脚本 病毒 。 脚 本 病毒 的 前 缀 是 Script。 脚 本 病毒 的 公有 特性 是 使 用 脚本 语言 编 
写 ,通过 网 页 进行 传播 的 病毒 ， 如 红色 代码 (Script.Redlof)。 脚 本 病毒 还 会 有 如 下 前 缀 : 
VBS、JS (表明 是 何 种 脚本 编写 的 )， 如 欢乐 时 光 (VBS.Happytime )、 十 四 日 
(Js.Fortnight.c.s) 等 。 

(5) 宏 病 毒 。 其 实 宏 病 毒 也 是 脚本 病毒 的 一 种 ， 由 于 它 的 特殊 性 ， 因 此 在 这 里 单独 
算 成 一 类 。 宏 病毒 的 前 级 是 Macro， 第 二 前 缀 是 Word、Word 97、Excel、Excel 97 (也 
许 还 有 别 的 ) 其 中 之 一 。 凡 是 只 感染 Word97 及 以 前 版 本 Word 文档 的 病毒 采用 Word 97 
作为 第 二 前 级 ,格式 是 Macro.Word 97; 凡是 只 感染 Word 97 以 后 版 本 Word 文档 的 病毒 
采用 Word 做 为 第 二 前 级 ， 格 式 是 Macro.Word; 凡是 只 感染 Excel 97 及 以 前 版 本 Excel 
文档 的 病毒 采用 Excel 97 作为 第 二 前 级 ， 格 式 是 Macro.Excel 97; 凡是 只 感染 Excel 97 
以 后 版 本 Excel 文档 的 病毒 采用 Excel 作为 第 二 前 级 ， 格 式 是 Macro.Excel， 依 此 类 推 。 
该 类 病毒 的 公有 特性 是 能 感染 Office 系列 文档 ， 然 后 通过 Office 通用 模板 进行 传播 ， 如 
著名 的 美丽 莎 (Macro.Melissa)。 

(6) 后 门 程序 。 后 门 程序 的 前 级 是 Backdoor。 该 类 程序 的 公有 特性 是 通过 网 络 传播 ， 
给 系统 开 后 门 ， 给 用 户 计算 机 带 来 安全 隐患 。 如 Backdoor.Agobot.frt、Backdoor.Hac- 
Defays。 

(7) 病毒 种 植 程序 病毒 。 这 类 病毒 的 公有 特性 是 运行 时 会 从 体内 释放 出 一 个 或 几 个 
新 的 病毒 到 系统 目录 下 ， 由 释放 出 来 的 新 病毒 产生 破坏 。 如 冰河 播种 者 (Dropper.Bi- 
ngHe2.2C)、MSN 射手 (Dropper.Worm.Smibag) 等 。 

(8) 破坏 性 程序 病毒 。 破 坏 性 程序 病毒 的 前 缀 是 Harm。 这 类 病毒 的 公有 特性 是 本 
身 具 有 好 看 的 图 标 来 诱惑 用 户 点 击 ， 当 用 户 点 击 这 类 病毒 时 ， 病 毒 便 会 直接 对 用 户 计算 
机 产生 破坏 。 如 格式 化 C 盘 〈Harm formatC.f)、 杀 手 命 令 (Harm.Command.Killer) 等 。 

(9) 玩笑 病毒 。 玩 笑 病毒 的 前 级 是 Joke。 也 称 恶 作 剧 病毒 。 这 类 病毒 的 公有 特性 是 
本 身 具 有 好 看 的 图 标 来 诱惑 用 户 点 击 ， 当 用 户 点 击 这 类 病毒 时 ， 病 毒 会 做 出 各 种 破坏 操 
作 来 吓 距 用 户 ， 其 实 病毒 并 没有 对 用 户 计算 机 进行 任何 破坏 。 如 女 鬼 (Joke.Girlghost) 
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病毒 。 

(10) 捆绑 机 病毒 。 捆 绑 机 病毒 的 前 级 是 Binder。 这 类 病毒 的 公有 特性 是 病毒 作者 
会 使 用 特定 的 捆绑 程序 将 病毒 与 一 些 应 用 程序 如 QQ、 正 捆绑 起 来 ， 表 面 上 看 是 一 个 正 
常 的 文件 ， 当 用 户 运 行 这 些 捆绑 病毒 时 ， 会 表面 上 运行 这 些 应 用 程序 ， 然 后 隐藏 运行 捆 
绑 在 一 起 的 病毒 ， 从 而 给 用 户 造成 危害 。 如 捆绑 QQ (BinderQQPass.QQBin)、 系 统 杀手 
(Binderkillsys) 等 。 

以 上 为 比较 常见 的 病毒 前 级 , 有 时 还 会 看 到 一 些 其 他 的 病毒 后 级 , 这 里 简单 提 一 下 。 

。 DoS: 会 针对 某 台 主机 或 者 服务 器 进行 DoS 攻击 。 

。 Exploit: 会 自动 通过 溢出 对 方 或 者 自己 的 系统 漏洞 来 传播 自身 ， 或 者 它 本 身 就 是 
一 个 用 于 Hacking 的 溢出 工具 。 

HackTool: 黑客 工具 ， 也 许 本 身 并 不 破坏 你 的 机 子 ， 但 是 会 被 别人 加 以 利用 来 用 
你 做 蔡 身 去 破坏 别人 。 


4.1.3 典型 的 恶意 代码 


1. 计算 机 病毒 

计算 机 病毒 是 目前 恶意 代码 中 数量 及 种 类 最 多 的 程序 之 一 ， 计 算 机 病毒 与 其 他 恶意 
代码 最 大 的 区 别 在 于 计算 机 病毒 是 可 以 传播 的 ， 且 需要 用 户 操 作 来 触发 执行 。 

1) 计算 机 病毒 的 特点 

计算 机 病毒 的 特征 可 以 归纳 为 传染 性 、 程 序 性 、 破 坏 性 、 非 授权 性 、 隐 蔽 性 、 潜 伏 
性 、 可 触发 性 和 不 可 预见 性 。 

(1) 传播 性 。 传 播 性 是 指 计算 机 病毒 具有 把 自身 复制 到 其 他 程序 的 能 力 。 是 否 具有 
传播 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 之 一 。 

(2) 程序 性 。 计 算 机 病毒 是 计算 机 程序 ， 需 要 依赖 于 特定 的 程序 环境 。 

(3) 破坏 性 。 病 毒 一 旦 侵入 系统 都 会 对 系统 的 运行 造成 不 同 程度 的 影响 。 该 部 分 特 
性 与 病毒 作者 编写 病毒 的 目的 有 很 大 关系 。 例如 , 有 些 病 毒 用 来 盗 取 用 户 各 类 账号 密码 ， 
有 些 病毒 则 用 来 将 被 控制 主机 作为 僵尸 程序 以 对 指定 目标 发 起 拒绝 服务 攻击 等 。 

(4) 非 授 权 性 。 一 般 正常 的 程序 是 由 用 户 调 用 ， 再 由 系统 分 配 资源 ， 完 成 用 户 交 给 
的 任务 。 其 目的 对 用 户 是 可 见 的 、 透 明 的 。 而 病毒 具有 正常 程序 的 一 切 特性 ， 它 隐藏 在 
正常 程序 中 。 当 用 户 调用 正常 程序 时 ， 窃 取 到 系统 的 控制 权 ， 先 于 正常 程序 执行 ， 病 毒 
的 动作 对 用 户 是 未 知 的， 是 未 经 用 户 允 许 的 。 病 毒 的 执行 对 系统 而 言 是 未 授权 的 。 

(5) 隐蔽 性 。 

@ 病毒 程序 代码 简洁 短小 。 

@ 其 附着 在 正常 程序 或 磁盘 较 隐 项 的 地 方 ， 也 有 个 别 以 隐 含 文件 形式 出 现 ， 或 者 
病毒 本 身 会 使 用 Rootkit 技术 对 自身 的 痕迹 进行 隐藏 。 

@ 病毒 取得 系统 控制 权 后 ， 系 统 仍 能 正常 运行 ， 使 用 户 不 会 感到 任何 异常 。 
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(6) 潜伏 性 。 大 部 分 病毒 感染 系统 后 不 会 马上 发 作 ， 它 可 长 期 隐藏 在 系统 中 ， 只 有 
在 满足 其 特定 条 件 时 才 启 动 其 表现 模块 。 

(7) 可 触发 性 。 病 毒 一 般 都 有 一 个 或 者 几 个 触发 条 件 。 如 果 满 足 其 触发 条 件 ， 激 活 
病毒 的 传染 机 制 进行 感染 ， 或 者 激活 病毒 的 表现 部 分 或 破坏 部 分 。 

(8) 不 可 预见 性 。 从 对 病毒 的 检测 方面 来 看 ， 病 毒 还 有 不 可 预见 性 。 

2) 计算 机 病毒 的 生命 周期 

一 个 计算 机 病毒 程序 的 整个 生命 周期 一 般 由 如 下 4 个 阶段 组 成 。 

(1) 潜伏 阶段 : 该 阶段 病毒 处 于 休眠 状态 ， 这 些 病 毒 最 终 会 被 某 些 条 件 〈 如 日 期 、 
某 特定 程序 或 特定 文件 的 出 现 、 内 存 的 容量 超过 一 定 范围 ) 所 激活 。 当 然 ， 并 不 是 所 有 
的 病毒 都 经 历 此 阶段 。 

(2) 传播 阶段 : 病毒 程序 将 自身 复制 到 其 他 程序 或 磁盘 的 某 个 区 域 上 ， 或 者 传播 到 
其 他 计算 机 中 ， 每 个 被 感染 的 程序 或 者 计算 机 又 因此 包含 了 病毒 的 复制 品 ， 从 而 也 就 进 
入 了 传播 阶段 。 

(3) 触发 阶段 : 病毒 在 被 激活 后 ， 会 执行 某 一 特定 功能 从 而 达到 某 种 目的 。 和 处 于 
潜伏 期 的 病毒 一 样 ， 触 发 阶段 病毒 的 触发 条 件 是 一 些 系 统 事件 ， 例 如 可 以 为 病毒 复制 自 
身 的 次 数 ， 也 可 以 是 系统 日 期 或 者 时 间 ， 如 CIH1.2 病毒 于 4 月 26 日 爆发 。 

(4) 发 作 阶 段 : 病毒 在 触发 条 件 成 熟 时 ， 即 可 在 系统 中 发 作 。 由 病毒 发 作 体现 出 来 
的 破坏 程度 是 不 同 的 ， 有 些 是 无 害 的 ， 有 些 则 给 系统 带 来 巨大 危害 。 

3) 计算 机 病毒 的 传播 途径 

随 着 网 络 技术 的 快速 发 展 和 计算 机 的 广泛 普及 ， 计 算 机 病毒 的 传播 途径 也 越 来 
越 多 。 

计算 机 病毒 的 传播 途径 可 以 大 致 分 为 如 下 几 类 。 

(1) 通过 软盘 、 光 盘 传 播 。 

软盘 作为 最 常用 的 交换 媒介 ， 在 早期 的 计算 机 应 用 中 对 病毒 的 传播 产生 了 重要 的 作 
用 ， 因 为 那 时 计算 机 应 用 比较 简单 ， 可 执行 文件 和 数据 文件 系统 都 较 小 ， 许 多 执行 文件 
都 需要 通过 软盘 相互 复制 、 安 装 ， 这 样 就 能 通过 软盘 传播 文件 型 病毒 。 另 外 ， 在 通过 软 
盘 列 目录 或 引导 机 器 时 ， 引 导 区 病毒 会 在 软盘 与 硬盘 引导 区 内 互相 感染 。 因 此 ， 软 盘 也 
成 了 计算 机 病毒 主要 的 寄生 “温床 ”。 软 磁盘 在 21 世纪 之 前 使 用 比较 频繁 ， 这 也 是 之 前 
计算 机 病毒 传播 的 最 主要 方式 。 

光盘 因为 容量 大 ， 可 以 存储 大 量 的 可 执行 文件 ， 光 盘 成 为 目前 软件 和 数据 交换 最 主 
要 的 方式 之 一 。 而 大 量 的 病毒 就 有 可 能 藏身 于 光盘 中 。 对 于 只 读 式 光 盘 ， 由 于 不 能 进行 
写 操作 ， 因 此 光盘 上 的 病毒 不 能 清除 。 在 以 谋 利 为 目的 非法 盗版 软件 制作 过 程 中 ， 不 可 
能 为 病毒 防护 担负 专门 责任 ， 也 决 不 会 有 真正 可 靠 的 技术 保障 避免 病毒 的 侵入 、 传 染 、 
流行 和 扩散 。 当 前 ， 盗 版 光盘 的 泛滥 给 病毒 的 传播 带 来 了 极 大 的 便利 ， 甚 至 有 些 光 盘 上 
的 反 病毒 软件 本 身 就 带 有 病毒 ， 这 就 给 本 来 “干净 ”的 计算 机 带 来 了 灾难 。 
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另外 ， 用 户 自己 在 进行 光盘 刻录 备份 数据 时 ， 也 可 能 将 被 感染 计算 机 病毒 的 程序 刻 
录 备份 。 

(2) 通过 移动 存储 设备 传播 。 

随 着 网 络 视频 、 音 乐 、 手 机 与 计算 机 文件 交换 发 展 ，U 盘 、MP3 等 可 移动 介质 被 黑 
客 广泛 利用 来 传播 病毒 。 只 要 U 盘 在 中 毒 计 算 机 上 使 用 过 ， 就 会 被 植 入 病毒 ， 当 它 被 拿 
到 别 的 计算 机 上 使 用 时 ， 就 会 感染 更 多 的 机 器 。 

移动 存储 设备 是 目前 计算 机 病毒 最 流行 的 传播 方式 ， 绝 大 部 分 计算 机 病毒 都 利用 移 
动 存储 设备 进行 传播 。 

目前 ,UU 盘 病 毒 传播 的 方式 主要 有 以 下 几 种 。 

Q@ 通过 autorun.inf 文件 进行 传播 (目前 U 盘 病毒 最 普遍 的 传播 方式 )。 

@) 伪装 成 其 他 文件 。 病 毒 把 U 盘 下 所 有 文件 夹 隐藏 ， 并 把 自己 复制 成 与 原文 件 夹 
名 称 相同 的 具有 文件 夹 图 标的 文件 ， 当 你 点 击 时 病毒 会 执行 自身 并 且 打 开 隐 藏 的 该 名 称 
的 文件 夹 。 

@ 通过 可 执行 文件 感染 传播 ， 很 古老 的 一 种 传播 手段 ， 但 是 依然 有 效 。 

作为 移动 存储 介质 使 用 最 频繁 的 场所 ， 打 印 社 、 计 算 机 机 房 和 多 媒体 教室 目前 已 经 
成 为 计算 机 病毒 传播 的 最 主要 场所 。 

目前 通过 U 盘 传 播 的 病毒 占据 总 病毒 数 的 比例 , 在 2006 年 还 不 足 10%, 到 2007 年 
则 上 升 到 32% 左 右 。 而 且 ， 该 传播 方式 往往 和 其 他 方式 结合 ， 以 取得 更 好 的 传播 效果 。 

有 时 ， 带 病毒 的 硬盘 会 被 在 本 地 或 移 到 其 他 地 方 使 用 甚至 维修 等 ， 这 就 会 传染 干净 
的 软盘 或 者 感染 其 他 硬盘 并 扩散 病毒 。 

(3) 通过 网 络 传播 。 

计算 机 网 络 是 目前 计算 机 病毒 急速 增长 、 种 类 快速 增加 的 直接 推动 力 ， 几 乎 任何 一 
种 网 络 应 用 都 可 能 成 为 计算 机 病毒 传播 的 有 效 渠道 。 计 算 机 病毒 常见 的 网 络 传播 方式 
如 下 。 

Q 通过 局 域 网 传播 。 局 域 网 是 由 相互 连接 的 一 组 计算 机 组 成 的 ， 这 是 数据 共享 和 
相互 协作 的 需要 。 组 成 网 络 的 每 一 台 计 算 机 都 能 连接 到 其 他 计算 机 ， 数 据 也 能 从 一 台 计 
算 机 发 送 到 其 他 计算 机 上 。 如 果 发 送 的 数据 感染 了 计算 机 病毒 ， 接 收 方 的 计算 机 将 自动 
被 感染 ， 因 此 ， 有 可 能 在 很 短 的 时 间 内 感染 整个 网 络 中 的 计算 机 。 局 域 网 络 技术 的 应 用 
为 企业 的 发 展 作 出 巨大 贡献 ， 同 时 也 为 计算 机 病毒 的 迅速 传播 铺 平 了 道路 。 同 时 ， 由 于 
系统 漏洞 所 产生 的 安全 隐患 也 会 使 病毒 在 局 域 网 中 传播 。 

@ 通过 穷 举 局 域 网 其 他 计算 机 的 管理 员 弱 口令 。 由 于 部 分 计算 机 用 户 没 有 为 计算 
机 管理 员 账户 设置 复杂 的 密码 ， 这 使 得 通过 弱 口 令 猜 解 的 计算 机 病毒 得 到 广泛 传播 。 例 
如 ，2003 年 3 月 爆发 的 “口令 蠕虫 ”使 用 了 这 种 传播 方式 。 

@ 电子 邮件 〈 如 邮件 附件 ， 或 者 带 恶 意 程序 的 邮件 正文 等 )。Outlook 以 及 Outlook 
Express 是 最 常用 的 邮件 客户 端 软件 , 也 是 非常 容易 受到 邮件 病毒 攻击 的 软件 。 由 于 这 类 
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软件 有 两 个 重要 漏洞 : 预览 漏洞 和 执行 漏洞 ， 因 此 产生 了 大 量 利用 这 两 个 漏洞 的 病毒 。 
利用 预览 漏洞 编写 的 病毒 ， 用 户 只 要 一 点 击 该 病毒 邮件 ， 病 毒 就 会 自动 执行 破坏 代码 ， 
使 用 户 防 不 胜 防 。 利 用 执行 漏洞 编写 的 病毒 ， 它 的 带 毒 邮件 会 有 一 个 特点 ， 就 是 邮件 很 
大 但 用 户 却 看 不 到 附件 ， 原 因 是 病毒 利用 邮件 编码 功能 将 自身 以 媒体 形式 隐藏 在 邮件 的 
正文 中 ,只 要 用 户 打开 该 邮件 , 病毒 就 会 自动 还 原 成 病毒 , 继而 对 用 户 计算 机 进行 破坏 。 
如 “欢乐 时 光 (VBS.Happytime)” 病 毒 会 将 自己 伪装 成 信纸 ， 然 后 附加 到 邮件 的 正文 中 
四 处 传播 ， 而 “求职 信 (Worm.Klez)” 病 毒 则 是 利用 邮件 预览 漏洞 进行 传播 的 。 

@ 各 类 即时 通信 软件 (如 QQ、MSN 和 Skype 等 )。 即 时 通信 (Instant Messenger， 
IM) 软件 可 以 说 是 目前 我 国 上 网 用 户 使 用 率 最 高 的 软件 ， 它 已 经 从 原来 纯 娱 乐 休闲 工具 
变 成 生活 工作 的 必 备 利器 。 由 于 用 户 数量 众多 ， 再 加 上 即时 通信 软件 本 身 的 安全 缺陷 ， 
例如 内 建 有 联系 人 清单 ， 使 得 病毒 可 以 方便 地 获取 传播 目标 ， 这 些 特性 都 能 被 病毒 利用 
来 传播 自身 ， 导 致 其 成 为 病毒 的 攻击 目标 。 对 即时 通信 软件 形成 安全 隐患 的 病毒 还 正在 
陆续 发 现 中 ， 并 有 越 演 越 烈 的 态势 。 

利用 发 送 窗 口中 的 超 链 接 功 能 进行 传播 是 即时 通信 软件 的 最 主要 传播 方式 之 一 ， 超 
链接 功能 即 当 用 户 收 到 好 友 发 来 的 一 个 网 址 时 ， 只 要 单 击 该 网 址 就 能 直接 进入 该 网 页 。 
由 于 该 功能 的 方便 性 ， 被 很 多 病毒 利用 ， 病 毒 运行 时 会 利用 聊天 窗口 向 所 有 在 线 好 友 发 
送 一 个 病毒 网 址 的 活 链接 ， 当 好 友 误 以 为 是 有 用 网 址 单 击 时 就 会 中 毒 ， 从 而 使 病毒 得 到 
广泛 传播 。 例 如 ， 大 规模 泛滥 的 “QQ 尾巴 〈Trojan.QQ3344.s)” 病 毒 运行 时 会 向 正在 聊 
天 的 QQ 用 户 发 送 消息 ， 收 到 消息 的 QQ 好 友 如 果 单 击 该 链接 地 址 ， 就 会 中 毒 ， 然 后 继 
续 感染 其 他 正在 QQ 上 聊天 的 QQ 好 友 。 

@ 利用 各 类 浏览 器 漏洞 (如 于、Firefox 和 Opera 等 ) 的 网 页 挂 马 。 正 浏览 器 是 我 
们 使 用 最 多 的 浏览 器 ， 它 也 存在 许多 安全 漏洞 并 成 为 病毒 的 攻击 对 象 。 最 常见 的 病毒 攻 
击 方式 是 利用 脚本 执行 漏洞 。 该 漏洞 会 在 用 户 浏览 网 页 时 自动 执行 网 页 中 的 有 害 脚本 程 
序 ， 或 者 自动 下 载 一 些 有 害 的 病毒 ， 从 而 对 用 户 的 计算 机 造成 破坏 。 如 “极限 女孩 ” 病 
毒 ， 它 内 藤 在 网 页 中 ， 当 用 户 在 不 知情 的 情况 下 打开 含有 该 病毒 的 网 页 时 ， 病 毒 就 会 修 
改 用 户 的 正 默认 首页 、 在 桌面 上 建立 大 量 的 色情 网 站 链接 ， 影 响 用 户 正 常 使 用 计算 机 。 

2007 年 ， 包 括 网 页 挂 马 〈 木 马 病毒 )、 钓 鱼网 站 和 流氓 网 站 等 成 为 新 的 最 大 的 威胁 来 
源 。 通 过 在 网 页 内 嵌入 木马 病毒 进行 传播 ， 已 经 成 为 黑客 传播 病毒 的 主要 渠道 ， 而 国内 
大 量 存在 安全 缺陷 的 网 站 ， 则 给 黑客 提供 了 便利 条 件 。 甚 至 一 些 大 型 站 点 和 门户 网 站 被 
黑客 入 侵 之 后 ， 也 会 被 挂 上 网 页 木马 。 另 外 ， 各 类 黄色 站 点 、 视 频 聊天 等 网 站 本 身 就 包 
含 大 量 恶意 网 页 。 

现在 黑客 们 往往 会 利用 社会 热点 来 实施 网 页 挂 马 攻击 ， 例 如 电影 《 色 戒 六 《 贝 布 托 
夫人 遇刺 》 等 ， 都 曾 被 黑客 利用 来 传播 病毒 。 由 于 通过 “网 页 挂 马 ”可 以 快速 地 批量 入 
侵 大 量 计算 机 ， 获 取经 济 利益 ， 因 此 “网 页 挂 马 ”成 为 黑客 常用 的 攻击 手段 。 

@ P2P 下 载 渠 道 (如 BT、 电 驴 等 )。P2P 软件 是 点 对 点 的 传输 通信 工具 ， 只 要 使 用 
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同一 个 P2P 软件 ， 用 户 之 间 就 可 以 直接 进行 交流 、 聊 天 和 交换 文件 等 。 随 着 P2P 软件 使 
用 范围 的 普及 ， 有 越 来 越 多 的 病毒 开始 盯 上 这 类 软件 。 大 多 数 攻 击 P2P 软件 的 病毒 都 是 
利用 自动 配置 脚本 和 共享 目录 进行 传播 。 病 毒 感染 用 户 计 算 机 时 就 会 查找 这 些 P2P 软件 
所 在 的 目录 ， 然 后 将 自身 加 入 到 脚本 配置 文件 中 ， 由 该 配置 文件 自动 将 病毒 传播 出 去 。 
或 者 病毒 会 将 自己 复制 到 了 P2P 软件 的 共享 目录 中 去 , 并 由 P2P 软件 的 其 他 用 户主 动 运行 
病毒 ， 从 而 造成 病毒 传播 。 像 “泡沫 人 《Worm.p2p.fizzer)” 病 毒 就 是 一 个 通过 P2P 软件 
的 共享 目录 进行 传播 的 恶性 病毒 ， 病 毒 泛滥 时 会 造成 网 络 阻塞 。 

@ 各 类 软件 下 载 站 点 。 目 前 ， 有 一 些 个 人 用 户 构建 软件 下 载 站 点 ， 这 些 站 点 中 有 
很 大 一 部 分 软件 都 包含 了 计算 机 病毒 。 另外 , 某 些 大 型 的 软件 下 载 站 点 被 黑客 入 侵 之 后 ， 
其 正常 软件 也 可 能 被 感染 或 捆 入 计算 机 病毒 ， 从 而 使 得 下 载 者 的 计算 机 感染 。 

各 类 应 用 软件 漏洞 。 很 多 流行 的 应 用 软件 ， 包 括 迅雷 、 百 度 搜 霸 、Realplayer 和 
Qvod 等 都 曾 出 现 过 安全 漏洞。 对 于 很 多 用 户 来 讲 ， 只 要 这 些 软 件 能 够 正常 使 用 ,就 不 会 
去 升级 新 版 本 ， 这 样 使 得 很 多 用 户 的 计算 机 都 存在 漏洞 。 这 些 用 户 去 访问 带 毒 网 站 时 ， 
很 容易 就 会 被 感染 。 

@ 各 类 系统 漏洞 。 漏 洞 是 指 操作 系统 中 的 某 些 程序 中 存在 一 些 人 为 的 逻辑 错误 ， 
这 些 错误 隐藏 很 深 , 一 般 是 被 一 些 程 序 员 或 编程 爱好 者 在 研究 系统 的 过 程 中 偶然 发 现 的 ， 
这 些 发 现 的 错误 公布 后 很 可 能 被 一 些 黑客 利用 ， 于 是 这 些 能 被 利用 的 逻辑 错误 就 成 了 

目前 ， 各 类 操作 系统 都 不 可 避免 地 存在 大 量 的 安全 问题 和 缺陷 。 例 如 ， 微 软 每 个 月 
第 二 个 星期 二 都 会 公布 Windows 操作 系统 的 一 系列 安全 公告 。 这 些 安全 漏洞 都 给 计算 机 
病毒 传播 特别 是 蠕虫 的 传播 提供 了 绝 佳 的 条 件 , 特别 是 大 量 0day 漏洞 的 出 现 , 更 是 让 广 
大 用 户 苦 不 堪 言 。 

Windows 系列 操作 系统 之 所 以 容易 受到 病毒 攻击 ， 主 要 是 因为 操作 系统 设计 复杂 ， 
会 出 现 大 量 的 安全 漏洞 。 如 2003 年 8 月 份 全 球 泛滥 的 “冲击 波 〈Worm.Blaster)” 病 毒 
就 是 利用 了 系统 的 RPC 缓冲 区 漏洞 才 得 以 大 面积 传播 与 泛滥 。 

据 不 完全 统计 ，Windows NT 系列 操作 系统 已 存在 有 近 千 个 已 知 的 安全 漏洞 。 而 随 
着 新 操作 系统 的 推出 ， 新 漏洞 将 会 更 多 地 被 发 现 。 

不 过 ， 相 对 来 讲 ， 目 前 修补 系统 漏洞 的 工具 和 技术 都 比较 成 熟 ， 很 多 安全 软件 都 提 
供 了 系统 漏洞 扫描 和 补丁 修补 安装 的 功能 ， 如 360 安全 卫士 。 

ARP 欺骗 。ARP 地 址 解析 协议 是 一 种 常用 的 网 络 协议 , 每 台 安装 有 TCP/IP 协议 
的 计算 机 里 都 有 一 个 ARP 缓存 表 ， 表 里 的 了 P 地 址 与 MAC 地 址 一 一 对 应 ， 如 果 这 个 表 
被 修改 ， 则 会 出 现 网 络 无 法 连通 , 或 者 访问 的 网 页 被 动 持 。 黑 客 利用 ARP 协议 存在 的 缺 
陷 , 侵入 某 台 计算 机 之 后 发 送 ARP 欺骗 攻击 数据 包 , 造成 局 域 网 内 所 有 用 户 在 访问 网 络 
时 ， 收 到 的 都 是 带 毒 的 网 页 。 

挟 无 线 设 备 传播 。 目前， 这 种 传播 途径 随 着 手机 功能 性 的 开放 和 增值 服务 的 拓展 ， 
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已 经 成 为 有 必要 加 以 防范 的 一 种 病毒 传播 途径 。 随 着 智能 手机 的 普及 ， 通 过 彩信 、 上 网 
浏览 与 下 载 到 手机 中 的 程序 越 来 越 多 ， 不 可 避免 地 会 对 手机 安全 产生 隐患 ， 手 机 病毒 会 
成 为 新 一 轮 计算 机 病毒 危害 的 “源头 ”。 手 机 ， 特 别 是 智能 手机 和 3G 网 络 发 展 的 同时 ， 
手机 病毒 的 传播 速度 和 危害 程度 也 与 日 俱 增 。 通 过 无 线 传播 的 趋势 很 有 可 能 将 会 发 展 成 
为 第 二 大 病毒 传播 媒介 ， 并 很 有 可 能 与 网 络 传播 造成 同等 的 危害 。 

4) 计算 机 病毒 的 多 种 状态 

计算 机 病毒 在 传播 中 存在 静态 和 动态 两 种 状态 ， 这 里 用 “静态 病毒 ”和 “动态 病毒 ” 
来 表示 处 于 这 两 种 状态 的 病毒 。 

(1) 静态 病毒 : 是 指 存在 于 辅助 存储 介质 上 的 计算 机 病毒 。 因 为 程序 只 有 被 操作 系 
统 加 载 才能 进入 内 存 执行 ， 静 态 病毒 未 被 加 载 ， 所 以 不 存在 计算 机 内 存 ， 更 没有 被 系统 
执行 。 因 此 ， 静 态 病毒 不 能 产生 传染 和 破坏 作用 。 有 时 ， 这 种 休眠 状态 的 病毒 被 称 为 潜 
伏 病 毒 。 另 外 ， 某 种 病毒 存在 于 不 可 执行 它 的 系统 中 ， 该 病毒 就 会 处 于 一 种 特别 的 睡眠 
状态 。 对 于 处 于 静态 的 计算 机 病毒 来 说 ， 其 在 计算 机 中 的 存在 形式 便 是 文件 或 者 保存 在 
扇 区 中 的 病毒 代码 。 

(2) 动态 病毒 :是 指 进入 了 计算 机 内 存 的 计算 机 病毒 ， 它 必定 是 随 病 毒 宿主 的 运行 
或 者 系统 的 启动 机 制 而 运行 ， 如 使 用 寄生 了 病毒 的 软 、 硬 盘 启 动 计算 机 ， 或 执行 被 感染 
病毒 的 程序 文件 时 进入 内 存 ， 就 会 使 计算 机 病毒 处 于 动态 运行 状态 。 动 态 病毒 本 身 处 于 
运行 状态 ， 或 通过 截留 盗用 某 些 系统 中 断 或 设备 驱动 程序 头 能 力 及 获得 运行 权 系统 控 
制 权 )。 计算 机 病毒 的 传染 和 破坏 功能 必须 由 计算 机 病毒 在 动态 执行 时 调用 触发 , 计算 机 
病毒 的 传染 和 破坏 作用 都 是 动态 病毒 产生 的 。 

内 存 中 的 动态 病毒 又 有 两 种 状态 ， 能 激活 态 和 激活 态 。 

Q@ 能 激活 态 ， 当 内 存 中 的 病毒 代码 能 够 被 系统 的 正常 运行 机 制 所 执行 时 ， 动 态 病 
毒 就 处 于 能 激活 态 。 修 改 中 断 向 量 表 的 动态 病毒 能 在 系统 调用 病毒 修改 中 断 时 被 执行 ; 
修改 设备 驱动 程序 头 的 动态 病毒 能 在 系统 使 用 该 设备 驱动 程序 时 被 执行 。 获 得 部 分 的 系 
统 控 制 权 。 

@ 激活 态 : 系统 正在 执行 病毒 代码 时 ， 动 态 病毒 就 处 于 激活 态 。 病 毒 处 于 激活 态 
时 ， 不 一 定 进行 感染 和 破坏 ; 但 进行 感染 和 破坏 时 ， 必 然 处 于 激活 态 。 处 于 激活 态 的 动 
态 病毒 拥有 系统 控制 权 ， 它 监视 系统 的 运行 ， 一 旦 满足 传染 或 破坏 条 件 ， 就 调用 病毒 代 
码 中 的 传染 破坏 模块 ， 扩 散 病毒 或 破坏 系统 。 获 得 了 全 部 系统 控制 权 。 能 激活 态 的 病毒 
能 借助 截留 盗用 系统 正常 运行 机 制 转 变 为 激活 态 病毒 ， 获 得 系统 控制 权 。 

内 存 中 的 病毒 还 有 一 种 较为 特殊 的 状态 一 一 失 活 态 ， 这 种 状态 在 一 般 情 况 下 不 会 出 
现 。 它 的 出 现 一 般 是 由 于 用 户 对 病毒 的 干预 (用 杀毒 软件 或 手工 方法 )。 内 存 中 的 病毒 代 
码 不 能 被 系统 的 正常 运行 机 制 执行 ， 此 时 ， 内 存 中 的 病毒 就 处 于 失 活 态 。 处 于 失 活 态 的 
内 存 病毒 不 可 能 进行 传染 或 破坏 。 它 与 静态 病毒 的 不 同 仅 在 于 病毒 代码 在 内 存 中 ， 但 得 
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不 到 执行 。 

5) Windows 环境 下 的 几 类 常见 计算 机 病毒 

(1) Windows PE 病毒 。 

PE (Portable Executable， 可 移植 的 执行 体 ) 是 Win32 环境 自身 所 带 的 执行 体 文件 格 
式 ， 它 的 一 些 特性 继承 自 UNIX 的 Coff (common object file format) 文件 格式 。 

PE 病毒 是 指 所 有 感染 Windows 下 PE 文件 格式 文件 的 病毒 。PE 病毒 在 进行 文件 感 
染 或 网 络 传播 时 存在 多 种 感染 方式 。 

Q@ 传统 感染 。 该 类 病毒 最 具 技 术 性 ， 病 毒 编写 者 通常 需要 对 PE 文件 格式 有 比较 深 
入 的 了 解 。 该 类 病毒 感染 的 原理 是 将 病毒 代码 写 入 到 目标 宿主 程序 体内 ， 然 后 修改 目标 
宿主 程序 的 文件 头 或 者 部 分 程序 代码 , 使 得 宿主 程序 在 运行 时 可 以 调用 病毒 代码 的 执行 。 
这 类 病毒 感染 目标 程序 之 后 通常 不 会 改变 目标 程序 的 图 标 ， 如 果 采 用 空隙 式 感 染 则 不 会 
增加 目标 程序 的 大 小 〈 如 CIH 病毒 )。 

这 类 病毒 编写 起 来 难度 较 大 ， 写 入 到 目标 宿主 程序 体内 的 病毒 代码 自身 要 解决 变量 
重新 定位 、 自己 搜索 API 函数 地 址 等 关键 技术 。 通 常 这 类 病毒 是 使 用 Win32 汇编 编写 的 。 
这 类 计算 机 病毒 在 进行 病毒 清除 时 也 比较 困难 。 

@ 捆绑 式 感 染 。 该 类 计算 机 病毒 在 感染 宿主 程序 时 ， 会 将 自身 整体 直接 或 者 进行 
压缩 之 后 放 入 到 目标 宿主 程序 之 中 ， 或 者 将 自身 代码 覆盖 到 目标 宿主 程序 最 前 面 ， 同 时 
将 目标 宿主 程序 直接 或 者 进行 压缩 后 保存 在 病毒 程序 之 后 。 这 样 ， 当 目标 宿主 程序 运行 
时 ， 实 际 上 执行 的 是 计算 机 病毒 程序 ， 为 了 保证 目标 程序 也 可 以 正常 执行 ， 该 类 计算 机 
病毒 会 将 原始 目标 程序 解压 释放 然后 执行 。 

当然 ， 这 类 病毒 在 感染 时 需要 对 目标 程序 的 图 标 进 行 提取 替换 ， 和 否则 目标 程序 的 图 
标 就 会 发 生 改变 。 例 如 ， 熊 猫 烧 香 病 毒 便 是 这 种 感染 方式 ， 且 被 感染 之 后 的 PE 文件 图 
标 都 是 一 个 熊猫 图 案 。 

这 类 计算 机 病毒 在 清除 时 的 难度 较 前 一 种 感染 方式 较 小 。 

@ 复制 性 传播 。 这 类 计算 机 病毒 本 身 不 对 任何 PE 文件 进行 感染 ， 其 通常 在 目标 计 
算 机 中 保存 几 个 病毒 文件 。 由 于 不 感染 任何 文件 ， 因 此 这 类 病毒 程序 必须 在 操作 系统 中 
写 入 自 启动 项 ， 以 便于 系统 重新 启动 之 后 这 些 病毒 程序 可 以 获得 控制 权 。 这 类 计算 机 病 
毒 由 于 不 感染 本 地 主机 中 的 文件 ， 其 在 进行 传播 时 通常 采用 可 移动 存储 介质 或 者 网 络 交 
互 方式 进行 传播 。 

@ 覆盖 式 传播 。 这 类 计算 机 病毒 直接 对 目标 PE 文件 进行 覆盖 ， 如 “小 浩 ” 病 毒 。 
这 类 计算 机 病毒 没有 什么 技术 性 可 言 ， 感 染 该 类 计算 机 病毒 之 后 ， 原 有 的 被 感染 文件 数 
据 全 部 或 者 部 分 丢失 。 在 对 这 类 计算 机 病毒 进行 清除 时 ， 直 接 删除 掉 病 毒 体 文件 即 可 。 

(2) 脚本 病毒 。 

脚本 病毒 是 指 利用 .asp、htm、html、vbs 和 .js 等 类 型 的 文件 进行 传播 的 基于 VB Script 
和 Java Script 脚本 语言 并 由 WSH (Windows 脚本 宿主 ) 解释 执行 的 一 类 病毒 。 任 何 语言 
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都 是 可 以 编写 病毒 的 ， 而 用 脚本 编写 病毒 则 尤为 简单 ， 并 且 编 出 的 病毒 具有 传播 快 ， 破 
坏 力 大 的 特点 。 

脚本 病毒 种 类 比较 多 ， 比 较 常 见 的 是 VBS 脚本 病毒 。 

VBS 病毒 是 用 VBScript 编写 而 成 ， 该 脚本 语言 功能 非常 强大 ， 它 们 利用 Windows 
系统 的 开放 性 特点 ， 通 过 调用 一 些 现 成 的 Windows 对 象 、 组 件 ， 可 以 直接 对 文件 系统 、 
注册 表 等 进行 控制 。 可 以 说 , 病毒 实际 上 就 是 一 种 构思 , 但 是 这 种 构思 在 用 VBS 实现 时 
变 得 极其 容易 。 

脚本 病毒 具备 如 下 特点 。 

Q@ 编写 简单 。 一 个 对 病毒 一 无 所 知 的 计算 机 使 用 者 也 可 以 在 很 短 的 时 间 里 编 出 一 
个 新 型 病毒 来 。 

@ 破坏 力 大 。 其 破坏 力 不 仅 表现 在 对 文件 系统 及 机 器 性 能 的 破坏 ， 还 可 以 使 邮件 
服务 器 骨 演 ， 网 络 发 生 严重 阻塞 。 

@ 感染 力 强 。 由 于 脚本 是 直接 解释 执行 ， 并 且 它 不 需要 像 PE 病毒 那样 做 复杂 的 
PE 文件 字段 处 理 , 因此 这 类 病毒 可 以 直接 通过 自我 复制 的 方式 感染 其 他 同类 文件 , 并 且 
自我 的 异常 处 理 变 得 非常 容易 。 

@ 传播 范围 大 。 这 类 病毒 还 可 以 通过 HIM 和 ASP 等 网 页 文件 .E-mail 附件 .KaZaA 
等 网 络 共享 工具 和 IRC 传播 ， 可 以 在 很 短 时 间 内 传 遍 世界 各 地 。 

@@ 病毒 源码 容易 被 获取 ， 变 种 多 。 由 于 VBS 病毒 解释 执行 ， 其 源 代码 可 读 性 非常 
强 ， 即 使 病毒 源码 经 过 加 密 处 理 后 ， 其 源 代码 的 获取 还 是 比较 简单 。 因 此 ， 这 类 病毒 变 
种 比较 多 ， 稍 微 改 变 一 下 病毒 的 结构 ， 或 者 修改 一 下 特征 值 ， 很 多 杀毒 软件 可 能 就 无 能 
为 为 了 

@ 欺骗 性 强 。 脚 本 病毒 为 了 得 到 运行 机 会 ， 往 往 会 采用 各 种 让 用 户 不 大 注意 的 手 
段 ， 例 如 ， 邮 件 的 附件 名 采用 双 后 级 ， 如 .jpg.vbs。 由 于 系统 默认 不 显示 后 级 ， 这 样 ， 用 
户 看 到 这 个 文件 时 ， 就 会 认为 它 是 一 个 jpg 图 片 文件 。 

@ 使 病毒 生产 机 实现 起 来 非常 容易 。 所 谓 病 毒 生产 机 ， 就 是 可 以 按照 用 户 的 要 求 
进行 配置 以 生成 特定 病毒 的 机 器 (当然, 这 里 指 的 是 程序 )。 目 前 的 病毒 生产 机 之 所 以 大 
多 数 都 为 脚本 病毒 生产 机 ， 其 中 最 重要 的 一 点 还 是 因为 脚本 采用 解释 执行 的 方式 ， 实 现 
起 来 非常 容易 。 

(3) 宏 病 毒 。 

宏 是 微软 公司 出 品 的 Office 软件 包 中 所 包含 的 一 项 特殊 功能 。 微 软 设计 此 项 功能 的 
主要 目的 是 给 用 户 自动 执行 一 些 重复 性 的 工作 提供 方便 。 它 利用 简单 的 语法 ， 把 常用 的 
动作 写成 宏 ， 用 户 工作 时 ， 就 可 以 直接 利用 事先 编 好 的 宏 自 动 运行 ， 以 完成 某 项 特定 的 
任务 ， 而 不 必 反 复 重 复 相 同 的 动作 。 宏 是 一 段 类 似 批 处 理 命令 的 多 行 代 码 的 集合 。 在 
Word 中 可 以 通过 按 AltrF8 组 合 键 查看 存在 的 宏 ， 通 过 按 Alt+F11 组 合 键 调用 宏 编辑 
窗口 。 


第 4 章 网 络 安全 S53 


宏 病 毒 是 使 用 宏 语 言 编写 的 程序 ， 可 以 在 一 些 数据 处 理 系统 中 运行 (主要 是 微软 的 
办 公 软 件 系 统 ， 字 处 理 、 电 子 数据 表 和 其 他 Office 程序 中 )， 其 存在 于 字 处 理 文档 、 数 
据 表 格 、 数 据 库 和 演示 文档 等 数据 文件 中 ， 利 用 宏 语言 的 功能 将 自己 复制 并 且 繁 殖 到 其 
他 数据 文档 里 。 宏 病毒 本 质 上 是 利用 宏 语 言 (如 VBA) 进行 编写 的 一 些 宏 ， 不 过 这 些 宏 
的 应 用 不 是 为 了 给 入 们 的 工作 提供 便利 ， 而 是 会 破坏 文档 ， 使 人 们 的 工作 遭受 损失 。 

2. 网 络 蠕虫 

网 络 蠕虫 由 于 不 需要 用 户 干预 来 触发 , 因而 其 传播 速度 要 远 远 大 于 网 络 病毒 。 因而， 
其 对 网 络 性 能 产生 的 影响 则 更 为 显著 和 严重 。 

表 4-1 列举 了 曾经 出 现 过 的 著名 蠕虫 及 它们 所 利用 的 具体 漏洞 和 具体 爆发 时 间 。 


表 4-1 几 个 著名 蠕虫 


蠕虫 名称 爆发 时 间 
Slammer 2003.1.25 
Blaster 2003.07.11 
Sasser 2004.05.01 
Zotob 2005.08.14 


网 络 蠕虫 可 以 独立 运行 ， 并 能 把 自身 的 一 个 包含 所 有 功能 的 版 本 传播 到 另外 的 计算 
机 上 。 

1) 计算 机 病毒 与 蠕虫 的 区 别 

计算 机 病毒 和 网 络 蠕虫 都 具有 传播 性 和 破坏 性 ， 这 导致 两 者 之 间 是 非常 难 区 分 的 。 
表 4-2 给 出 病毒 和 蠕虫 的 一 些 差 别 : 


表 4-2 病毒 和 蠕虫 的 区 别 


病毒 蠕虫 
存在 形式 寄生 独立 个 体 
复制 机 制 插入 到 寄主 程序 〈 文 件 ) 中 自身 的 复制 
传染 机 制 宿主 程序 运行 系统 存在 漏洞 
搜索 机 制 针对 本 地 文件 网 络 上 的 其 他 计算 机 
触发 机 制 计算 机 使 用 者 程序 自身 
影响 重点 文件 系统 网 络 ， 系 统 性 能 
计算 机 使 用 者 角色 无 关 
防治 措施 为 系统 打 补 本 
对 抗 主体 系统 提供 商 ， 网 络 管理 人 员 


通过 对 多 个 蠕虫 程序 的 分 析 ， 通 常情 况 下 可 以 粗略 地 把 蠕虫 程序 或 代码 的 功能 分 为 
基本 功能 模块 和 扩展 功 模块 。 
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2) 基本 功能 模块 

基本 功能 模块 是 几乎 每 一 个 蠕虫 都 应 该 具备 的 模块 ， 这 些 模块 构成 了 网 络 蠕虫 进行 
传播 不 可 缺少 的 最 基本 的 功能 。 

(1) 目标 搜索 或 生成 模块 。 本 模块 主要 用 来 搜索 可 被 感染 的 目标 主机 。 此 部 分 通常 
存活 主机 扫描 及 漏洞 扫描 模块 。 当 然 ， 有 些 蠕虫 自身 并 没有 存活 主机 扫描 模块 ， 而 只 是 
随机 产生 目标 卫 地 址 ， 如 SQL Slammer。 

(2) 攻击 模块 。 在 被 感染 的 计算 机 上 建立 控制 通道 ， 该 模块 通常 需要 利用 目标 主机 
的 缺陷 或 漏洞 来 获取 对 目标 主机 的 控制 权 。 这 也 是 蠕虫 赖 以 生存 的 关键 手段 。 从 单 次 攻 
击 来 讲 ， 该 模块 和 Exploit 程序 发 起 一 次 攻击 效果 是 一 致 的 。 

(3) 传输 模块 。 里 虫 的 传输 通常 包括 两 种 方式 : 直接 在 攻击 模块 中 发 送 带 蠕虫 全 部 
数据 的 数据 包 ， 或 者 在 获得 对 方 主机 的 控制 权 之 后 下 载 或 者 接收 攻击 计算 机 发 送 的 蠕虫 
文件 。 例 如，SQL Slammer 采用 了 第 一 种 方式 ， 而 冲击 波 和 振荡 波 则 采用 了 后 面 的 方式 。 

3) 扩展 功能 模块 

扩展 功能 模块 并 不 是 每 一 个 蠕虫 都 必须 具有 的 模块 ， 这 通常 与 蠕虫 作者 编写 蠕虫 的 
目的 有 很 大 关系 扩展 功能 模块 本 身 与 其 他 恶意 代码 的 功能 模块 在 技术 上 没有 很 大 区 别 。 

(1) 主机 驻 留 模块 。 在 目标 主机 硬盘 中 建立 自身 的 多 个 副本 ， 并 设置 自 启动 选项 ， 
以 长 期 驻 留 在 目标 主机 中 。 这 种 驻 留 方式 与 其 他 类 型 的 恶意 代码 是 一 致 的 。 当 然 ， 有 的 
网 络 蠕虫 并 不 驻 留 在 主机 硬盘 之 中 , 例如 , 红色 代码 和 Slammer 蠕虫 仅 驻 留 在 内 存 之 中 ， 
在 关机 之 后 该 蠕虫 就 会 自动 消失 。 

(2) 隐藏 模块 。 对 蠕虫 产生 的 各 类 文件 和 对 象 进行 隐藏 。 

(3) 破坏 模块 。 摊 毁 或 破坏 被 感染 计算 机 ， 或 在 被 感染 计算 机 上 留 下 后 门 程序 等 。 

(4) 通信 模块 。 蠕 虫 之 间或 者 蠕虫 同 黑 客 之 间 进 行 交流 的 模块 。 

(5) 控制 模块 。 用 来 调整 蠕虫 行为 ， 更 新 其 他 功能 模块 ， 控 制 被 感染 计算 机 。 

3. 特洛伊 木马 

计算 机 领域 的 “特洛伊 木马 (Trojan)”， 是 指 附着 在 应 用 程序 中 或 者 单独 存在 的 一 
些 恶 意 程 序 ， 它 可 以 利用 网 络 远程 控制 网 络 另 一 端的 安装 有 服务 端 程序 的 主机 ， 实 现 对 
被 植 入 了 木马 程序 的 计算 机 的 控制 ,或 者 窃取 被 植 入 了 木马 程序 的 计算 机 上 的 机 密 资料 。 

同 其 他 的 黑客 工具 一 样 ， 木 马 程序 具有 隐蔽 性 和 非 授权 性 。 所 谓 隐 蔽 性 ， 是 指 木马 
设计 者 为 了 防止 木马 程序 被 发 现 ， 会 尽 可 能 地 采用 各 种 隐藏 手段 ， 这 样 即使 被 发 现 ， 也 
往往 因为 无 法 具体 定位 而 无 法 清除 。 所 谓 非 授权 性 ， 是 指 木马 程序 的 控制 端 与 服务 端 连 
接 后 , 具有 服务 端 程序 窃取 的 各 种 权限 , 可 以 由 服务 端 接收 客户 端 计算 机 发 送 来 的 命令 ， 
并 在 服务 端 计算 机 上 执行 ， 包括 修改 或 删除 文件 、 控 制 计算 机 的 键盘 鼠标 、 修 改 注册 表 、 
按 木马 控制 者 的 意愿 重启 被 攻击 的 计算 机 、 截 取 服 务 端 的 屏幕 内 容 等 。 

从 本 质 上 讲 , 木马 是 一 种 基于 远程 控制 的 工具 ， 类似 于 远 端 管理 软件 , 如 PC-Anyw- 
here。 木 马 与 一 般 远 程 管 理 软件 的 区 别 在 于 木马 具有 隐蔽 性 和 非 授 权 性 的 特点 。 
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木马 程序 一 般 利 用 TCP/IP 协议 ， 采 用 C/S 结构 ， 分 为 客户 端 (也 称 控制 端 和 服 
务 器 端 (也 称 被 控制 端 两 个 部 分 。 木 马 的 两 端 程序 通常 运行 于 网 络 上 不 同 的 两 台 计算 
机 。 服 务 器 端 程序 运行 于 被 攻击 的 计算 机 上 ， 而 客户 端 程序 在 控制 者 的 计算 机 上 运行 。 
客户 端 程序 可 以 同时 向 多 个 服务 端 程序 发 送 命 令 以 同时 控制 这 些 计算 机 。 客 户 端 程序 一 
般 提 供 友好 的 操作 界面 ， 以 便于 用 户 的 操作 ， 其 功能 比较 丰富 。 

4. 后 门 

后 门 是 指 那些 绕 过 安全 性 控制 而 获取 对 程序 或 系统 访问 权 的 程序 。 早 期 的 计算 机 黑 
客 ， 在 成 功 获得 远程 系统 的 控制 权 后 ， 希 望 能 有 一 种 技术 使 得 他 们 在 任意 时 间 都 可 以 再 
次 进入 远程 系统 ， 于 是 后 门 程序 就 出 现 了 。 后 门 是 一 种 登录 系统 的 方法 ， 它 不 仅 绕 过 系 
统 已 有 的 安全 设置 ， 而 且 还 能 挫败 系统 上 各 种 增强 的 安全 设置 。 用 很 简单 的 一 句 话 来 概 
括 它 : 后 门 就 是 留 在 计算 机 系统 中 ， 供 特殊 使 用 者 通过 某 种 特殊 方式 控制 计算 机 系统 的 
途径 。 

在 软件 的 开发 阶段 ， 程 序 员 常常 会 在 软件 内 创建 后 门 程序 以 便 可 以 修改 程序 设计 中 
的 缺陷 。 但 是 ， 如 果 这 些 后 门 被 其 他 人 知道 ， 或 是 在 发 布 软件 之 前 没有 删除 后 门 程序 ， 
那么 它 就 存在 安全 隐患 ， 容 易 被 黑客 当成 漏洞 进行 攻击 。 传 统 意义 上 的 后 门 程序 往往 只 
是 能 够 让 黑客 获得 一 个 SHELL， 通 过 SHELL 进而 进行 一 些 远程 控制 操作 。 

后 门 程序 跟 我 们 通常 所 说 的 “木马 ”有 联系 也 有 区 别 。 联 系 在 于 ， 都 是 隐藏 在 用 户 
系统 中 向 外 发 送信 息 ， 而 且 本 身 具 有 一 定 权限 ， 以 便 控 制 者 对 被 控制 主机 的 控制 ;区别 
在 于 ， 木 马 是 一 个 非常 完整 的 工具 集合 ， 而 后 门 大 多 数 则 体积 较 小 且 功 能 都 很 单一 ， 所 
以 木马 提供 的 功能 远 远 超 过 后 门 程序 。 当 然 ， 随 着 后 门 技术 的 发 展 ， 后 门 程序 的 功能 也 
开始 逐渐 完善 ， 所 以 目前 的 木马 和 后 门 有 时 候 很 难 具体 区 分 开 来 。 当 然 ， 有 的 观点 也 认 
为 ， 木 马 和 后 门 最 大 的 区 别 在 于 木马 程序 本 身 有 很 强 的 隐蔽 性 和 迷惑 性 ， 其 通常 隐藏 在 
某 些 看 起 来 具有 正常 功能 的 程序 之 中 。 如 果 将 后 门 程 序 伪装 成 正常 程序 ， 那 么 该 程序 也 
就 成 了 木马 。 

S. 网 页 木马 

网 页 木马 实际 上 是 经 过 黑客 精心 制作 的 HTML 网 页 文件 , 用 户 一 旦 访问 了 该 网 页 就 
会 中 木马 病毒 。 各 类 浏览 器 都 存在 一 些 安全 漏洞 (图 4-3 描述 了 正 浏览 器 面临 的 几 个 安 
全 漏洞 信息 ), 嵌入 在 这 个 网 页 文件 中 的 脚本 恰如其分 地 利用 了 浏览 器 的 漏洞 , 让 浏览 器 
在 后 台 自 动 下 载 并 执行 黑客 放置 在 网 络 上 的 木马 。 也 就 是 说 ， 只 要 用 户 访问 了 该 网 页 文 
件 ， 浏 览 器 就 会 自动 下 载 木 马 到 本 地 ， 并 自动 运行 〈 安 装 ) 下 载 到 本 地 计算 机 上 的 木马 ， 
整个 过 程 都 在 后 台 运 行 。 

6. Rootkit 程序 

Rootkit 所 采用 的 大 部 分 技术 和 技巧 都 用 于 在 计算 机 上 隐藏 代码 和 数据 。 例 如 ,许多 
Rootkit 可 以 隐藏 文件 和 目录 。Rootkit 的 其 他 特性 通常 用 于 远程 访问 和 窃听, 例如 ， 用 于 
嗅 探 网 络 上 的 报 文 。 当 这 些 特性 结合 起 来 后 ， 它 们 会 给 系统 带 来 严重 的 安全 隐患 。 
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oft 安全 公告 S08-010 - 严重 : “Internet Exzplorer 的 累积 性 安全 更 新 (944533) - Windows I... 攻占] 区 | 


- 区 http:/rrm microseft con/china/ technet/security/bulletin/Ns08-010.n: W | #7  X | ]lo- 
文件 到) ”编辑 下 ) 查看 WW) 收 诚 夹 和 工具 CD) 帮助 0 号- 


名 安 | 旬 [- rr ss | mm 会 - 目 - 禹 - 导 R- 洛 IO- ” 
Microsoft 交 全 公告 MS08-010 - 严重 
Intemet Explorer 的 昌 可 性 安全 更 新 (944533) 


Version: 1.1 


一 般 信 息 


简要 


此 关键 安全 更 新 可 消除 三 个 秘密 报告 的 漏洞 以 及 一 个 公开 报告 的 漏洞 。 最 严重 的 漏洞 可 能 在 用 户 使 用 
Internet Explorer ee NT HD, 那些 帐户 被 配置 为 菜 有 较 少 系统 用 户 权限 的 用 户 比 具 
有 管理 用 户 权 限 的 用 户 受 到 | 的 影响 要 - 


对 于 所 有 受 支 持 的 Internet Explorer 4 该 安全 更 新 的 等 级 为 “严重 ”。 有 关 详细 信息 ， 请 参阅 本 节 中 
“和 受 影响 和 不 受 影 响 的 软件 ”小节 


人 Internet Explorer 处 理 HTML 并 验证 数据 的 方式 以 及 为 ActiveX 控件 设置 kill bit 来 
关 漏洞 的 详细 信息 ， 请 参半 下 一 节 “ 漏 洞 信息 ”下 面 特定 漏洞 条 目的 常见 问题 (FAQ) 小 


建议 。 Microsoft 建议 用 户 立即 应 用 此 更 新 。 


已 知 问题 。 Microsoft 知 放 4533 介绍 了 客户 在 安装 此 安全 更 新 时 可 能 过 到 | 的 当前 已 知 问题 。 本 文 
Be 


ee 
安全 性 公告 和 升 极 受 影响 和 不 受 影 响 的 软件 


产品 技术 信息 已 对 此 处 列 出 的 软件 进行 测试 ， 以 确定 受到 | 尺 响 的 版 本 。 其 他 版 本 的 支持 生命 周期 已 结束 或 者 不 受 影响 。 要 
知识 库 文章 确定 软件 版 本 的 技术 支持 生命 周期 请 访问 Microscft 技术 支持 生命 周期 


下 载 和 测试 软件 委 影 响 的 软件 
活动 与 网 结 广 播 
操作 系统 


Internet Explorer 5.01 和 
Wren Internet Explorer 6 Service 


@ Internet 我 1l00% ~ 


图 4-3 ”微软 安全 公告 MS08-010: 正 的 累积 性 安全 更 新 


Rootkit 并 非 天 生 邪 恶 ， 也 并 不 总 是 被 黑客 所 使 用 。Rootkit 只 是 一 种 技术 ， 美 好 或 
那 恶 的 意图 取决 于 使 用 它们 的 人 。 大量 合法 的 商用 程序 提供 了 远程 管理 ， 甚至 窃听 功能 。 
有 些 程序 甚至 使 用 潜行 技术 。 这 些 程序 在 许多 方面 都 可 称 作 Rootkit。 法 律 实施 领域 可 以 
使 用 术语 Rootkit 来 指 代 被 核准 的 后 门 程序 一 一 根据 国家 法 律 (可 能 通过 法 院 指令 ) 允许 
在 目标 上 安装 它们 。 大 型 公司 也 使 用 Rootkit 技术 来 监测 和 实施 自己 的 计算 机 使 用 规范 。 

只 有 当 和 希望 维持 对 系统 的 访问 时 ，Rootkit 才 发 挥 作用 。 若 要 完成 的 全 部 功能 只 是 窃 
取信 息 然后 离开 ， 则 没有 必要 留 下 Rootkit。 事 实 上 ， 留 下 Rootkit 总 是 存在 着 被 检测 发 
现 的 风险 。 若 窃取 了 信息 并 将 系统 清理 干净 ， 就 可 以 不 留 下 任何 操作 痕迹 。 

可 以 把 Rootkit 理解 成 一 个 利用 很 多 技术 来 潜伏 在 目标 系统 中 的 一 个 后 门 ， 并 且 包 
含 了 一 个 功能 比较 多 的 程序 包 ， 例 如 有 清除 日 志 、 添 加 用 户 、 提 供 cmdshell 和 添加 删除 
启动 服务 等 功能 。 当 然 ， 它 的 设计 者 也 要 用 一 些 技术 来 隐藏 程序 ， 以 确保 不 被 发 现 。 目 
前 RootKit 常见 的 隐藏 范围 包括 隐藏 进程 、 文 件 、 端 口 、 网 络 连 接 、 句 柄 、 注 册 表 的 项 
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或 键 值 等 。 总 之 ，Rootkit 的 设计 者 总 是 绞 尽 脑汁 利用 各 种 技术 以 避免 自身 程序 被 发 现 。 

Rootkits 主要 分 为 两 大 类 : 用 户 态 和 内 核 态 。 用户 态 Rootkit 通常 是 进程 注入 式 Rootkits， 
而 内 核 态 则 多 为 驱动 级 Rootkits。 

第 一 种 Rootkits 技术 通常 通过 释放 动态 链接 库 (DLL) 文件 ， 并 将 它们 注入 到 其 他 
软件 及 系统 进程 中 运行 ， 通 过 HOOK 方式 对 消息 进行 拦截 ， 阻 止 Windows 及 应 用 程序 
对 被 保护 的 文件 进行 访问 。 

第 二 种 Rootkits 技术 较为 复杂 ， 其 通过 在 Windows 启动 时 加 载 Rootkits 驱动 程序 ， 
获取 对 Windows 的 控制 权 。 当 程序 (Windows 及 杀毒 软件 等 ) 通过 系统 API 及 NTAPI 
访问 文件 系统 时 进行 监视 ， 一 旦 发 现 程序 访问 被 Rootkits 保护 的 文件 时 返回 一 个 虚假 的 
结果 ， 从 而 达到 隐藏 或 锁定 文件 的 目的 。 

7. Exploit 与 ShellCode 

Exploit 是 一 个 小 程序 ， 通 过 使 用 该 程序 可 以 触发 一 个 软件 漏洞 并 被 攻击 者 所 利用 。 
它 是 一 种 自动 检测 漏洞 并 能 在 大 多 数 情况 下 通过 运行 代码 来 尝试 利用 漏洞 的 程序 。 它 通 
常 包含 两 个 主要 部 分 : 用 来 触发 并 利用 对 方 系统 漏洞 的 代码 和 另外 一 段 被 称 为 ShellCode 
的 代码 。Exploit 又 可 以 分 为 本 地 和 远程 两 类 。 本 地 Exploit 多 用 来 提升 权限 , 而 远程 Exploit 
多 用 于 发 动 拒绝 服务 攻击 或 者 获得 目标 主机 的 控制 权 。 

通常 ，ShellCode 是 用 来 执行 shell 的 字 节 码 。 现在 ShellCode 有 了 更 广泛 的 意思 ,可 
以 定义 一 个 成 功 Exploit 在 获得 目标 系统 控制 权 之 后 所 执行 的 功能 代码 。ShellCode 经 常 
被 大 小 的 束缚 所 限制 ,例如 受 发 送 到 脆弱 应 用 程序 的 缓冲 区 的 大 小 限制 或 者 编码 限制 等 。 
多 数 ShellCode 的 目的 用 于 返回 shell 地 址 (又 可 以 分 为 正 向 和 反 向 shell)， 但 许多 
ShellCode 也 有 其 他 的 目的 ， 如 用 来 添加 管理 员 账 户 、 从 远程 URL 下 载 并 执行 一 个 程序 等 。 

有 时 ， 同 一 个 漏洞 在 不 同 操作 系统 版 本 上 的 具体 细节 是 不 一 样 的 ， 即 使 漏洞 细节 相 
同 , 但 为 了 触发 ShellCode 获得 控制 权 ， 其 所 选择 的 用 来 转 跳 到 ShellCode 的 转 跳 语句 也 
不 一 样 。 因 此 ， 对 于 同一 个 漏洞 有 时 会 出 现 多 种 针对 不 同 操作 系统 环境 的 Exploit。 

8. 黑客 攻击 程序 

黑客 攻击 程序 由 于 可 能 对 计算 机 用 户 的 计算 机 安全 造成 威胁 ， 因 此 也 经 常 被 各 大 杀 
毒 软件 厂商 纳入 到 病毒 查 杀 范围 之 列 。 

9. 流氓 软件 

流氓 软件 也 称 为 灰色 软件 ， 是 一 种 介 于 正常 软件 和 恶意 代码 之 间 的 软件 。 通 常 流氓 
软件 是 由 合法 的 公司 发 布 ， 主 要 用 于 商业 目的 。 所 以 流氓 软件 一 般 不 会 对 计算 机 用 户 的 
系统 造成 破坏 ， 但 是 它 会 影响 用 户 的 正常 使 用 ， 如 广告 软件 不 断 地 弹出 广告 ， 占 用 系统 
资源 ， 更 有 甚 者 如 间谍 软件 会 记录 用 户 的 个 人 信息 ， 造 成 严重 的 损失 。 

2006 年 ， 中 国 互 联网 协会 对 流氓 软件 进行 了 定义 。 

流氓 软件 是 指 在 未 明确 提示 用 户 或 未 经 用 户 许可 的 情况 下 ， 在 用 户 计 算 机 或 其 他 终 
端 上 安装 运行 、 侵 犯 用 户 合法 权益 的 软件 ， 但 已 被 我 国 现 有 法 律 法 规 规定 的 计算 机 病毒 
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除外 。 它 具有 如 下 特点 。 

(1) 强制 安装 。 是 指 在 未 明确 提示 用 户 或 未 经 用 户 许 可 的 情况 下 ， 在 用 户 计算 机 或 
其 他 终端 上 安装 软件 的 行为 。 

(2) 难以 各 载 。 是 指 未 提供 通用 的 卸载 方式 ， 或 在 不 受 其 他 软件 影响 、 人 为 破坏 的 
情况 下 ， 印 载 后 仍 活 动 的 行为 。 

(3) 浏览 器 劫持 。 是 指 未 经 用 户 许可 ， 修 改 用 户 浏览 器 或 其 他 相关 设置 ， 人 迫使 用 户 
访问 特定 网 站 或 导致 用 户 无 法 正常 上 网 的 行为 。 

(4) 广告 弹出 。 是 指 未 明确 提示 用 户 或 未 经 用 户 许 可 的 情况 下 ， 利 用 安装 在 用 户 计 
算 机 或 其 他 终端 上 的 软件 弹出 广告 的 行为 。 

(5) 恶意 收集 用 户 信息 。 是 指 未 明确 提示 用 户 或 未 经 用 户 许可 ， 亚 意 收集 用 户 信息 
的 行为 。 
(6) 恶意 和 卸载。 是 指 未 明确 提示 用 户 、 未 经 用 户 许可 ， 或 误导 、 欺 骗 用 户 秃 载 非 恶 
意 代码 的 行为 。 

(7) 恶意 捆绑 。 是 指 在 软件 中 捆绑 已 被 认定 为 恶意 代码 的 行为 。 

(8) 其 他 侵犯 用 户 知情 权 、 选 择 权 的 恶意 行为 。 


4.1.4 ”典型 反 病 毒 技术 和 常用 反 病 毒 软件 


1. 典型 反 病毒 技术 介绍 

目前 典型 的 反 病毒 技术 有 特征 码 技术 、 虚 拟 机 技术 、 启 发 扫描 技术 、 行 为 监控 技术 、 
主动 防御 技术 和 病毒 疫苗 等 。 

1) 特征 值 查 毒 法 

特征 值 扫描 是 目前 国际 上 反 病 毒 公司 普遍 采用 的 查 毒 技术 。 其 核心 是 从 病毒 体 中 提 
取 病 毒 特征 值 构成 病毒 特征 库 ， 杀 毒 软件 将 用 户 计 算 机 中 的 文件 或 程序 等 目标 ， 与 病毒 
特征 库 中 的 特征 值 逐 一 比 对 ， 判 断 该 目标 是 否 被 病毒 感染 。 

目前 绝 大 多 数 反 病毒 软件 都 采用 了 特征 值 查 毒 技术 。 这 类 反 病 毒 软件 不 可 缺少 的 两 
个 部 分 是 反 病 毒 引 擎 和 病毒 特征 库 。 反 病毒 引擎 用 来 对 疑似 病毒 样本 文件 进行 扫描 ， 其 
需要 根据 病毒 特征 库 的 特征 条 目 来 确定 该 疑似 病毒 样本 文件 是 否 包含 了 特定 的 计算 机 
病毒 。 

目前 ， 特 征 值 检测 技术 已 被 公认 是 检测 已 知 病毒 最 简单 有 效 的 方法 。 传 统 的 特征 串 
检测 技术 实现 步骤 如 下 。 

(1) 采集 已 知 的 病毒 样本 。 即 使 是 同一 种 病毒 ， 当 它 感 染 不 同 的 宿主 时 ， 就 要 采集 
多 种 样本 。 如 果 病 毒 既 感染 COM 文件 ， 又 感染 EXE 文件 以 及 引导 区 ， 那 就 要 提取 三 个 
样本 。 

(2) 在 病毒 样本 中 抽取 特征 串 。 抽 取 的 特征 串 应 比较 特殊 ， 不 要 与 普通 正常 程序 代 
码 吻合 。 当 抽取 的 特征 串 达到 一 定 长 度 时 ， 就 能 保证 这 种 特殊 性 。 抽 取 的 特征 串 要 有 适 
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当 长 度 ， 这 保证 了 特征 串 的 唯一 性 ， 同 时 查 毒 时 又 不 需 太 大 的 空间 和 时 间 开 销 。 

(3) 将 特征 串 纳入 病毒 特征 数据 库 。 

在 实际 应 用 中 ， 反 病毒 软件 使 用 反 病 毒 引 擎 打开 被 检测 文件 ， 在 文件 中 搜索 ， 检 查 
文件 中 是 否 含有 病毒 特征 数据 库 中 的 病毒 特征 串 。 由 于 特征 串 与 计算 机 病毒 一 一 对 应 ， 
如 果 发 现 病毒 特征 串 ， 便 可 以 判断 被 查 文件 中 染 有 何 种 病毒 。 

特征 值 检测 方法 的 优点 是 : 检测 准确 、 可 识别 病毒 的 名 称 、 误 报警 率 低 ， 并 且 依据 
检测 结果 可 做 解毒 处 理 。 

其 缺点 如 下 。 

(1) 开销 大 、 查 杀 速 度 慢 。 搜 集 已 知 病毒 特征 串 的 费用 开销 大 。 随 着 病毒 种 类 的 增 
多 ， 获 得 分 析 样本 的 时 间 变 长 。 另 外 ， 样 本 数 急 剧 增加 ， 目 前 各 大 反 病 毒 公司 的 样本 库 
记录 都 在 几 十 万 条 以 上 ， 虽 然 样本 数量 和 查 杀 速度 不 是 线性 关系 ， 但 进行 病毒 扫描 的 时 
间 开 销 无 疑 将 会 逐渐 增 大 。 

(2) 不 能 检查 未 知 病毒 和 多 态 性 病毒 。 特征 值 检测 方法 是 不 可 能 检测 多 态 性 病毒 的 ， 
因为 其 代码 不 唯一 。 虽 然 目 前 有 些 反 病毒 厂商 在 提取 特征 码 时 提出 了 一 些 可 以 提取 多 态 
性 病毒 共同 特征 码 的 方法 ， 但 效果 有 限 。 

2) 校 验 和 技术 

计算 正常 文件 的 内 容 和 正常 的 系统 扇 区 的 校 验 和 ， 将 该 校 验 和 写 入 数据 库 中 保存 。 
在 文件 使 用 /系统 启动 过 程 中 ， 检 查 文件 现在 内 容 的 校 验 和 与 原来 保存 的 校 验 和 是 否 一 
致 ， 因 而 可 以 发 现 文件 /引导 区 是 否 感染 ， 这 种 方法 叫 校 验 和 检测 技术 。 

校 验 和 检测 技术 的 优点 是 ; 方法 简单 、 能 发 现 未 知 病毒 、 被 查 文件 的 细微 变化 也 能 
发 现 。 其 缺点 是 : 必须 预先 记录 正常 文件 的 校 验 和 、 会 误 报警 、 不 能 识别 病毒 名 称 、 不 
能 对 付 隐蔽 型 病毒 和 效率 低 。 

3) 启发 式 扫描 技术 

启发 性 扫描 主要 是 分 析 文 件 中 的 指令 序列 ， 根 据 统计 知识 判断 该 文件 可 能 感染 或 者 
可 能 没有 感染 ， 从 而 有 可 能 找到 未 知 的 病毒 。 因 此 ， 启 发 性 扫描 技术 是 一 种 概率 方法 ， 
遵循 概率 理论 的 规律 。 

启发 式 扫描 技术 仍然 是 一 种 正在 发 展 和 不 断 完善 的 技术 ， 但 已 经 在 大 量 优秀 的 反 病 
毒 软件 中 得 到 迅速 的 推广 和 应 用 。 按照 最 保守 的 估计 , 一 个 精心 设计 的 启发 式 扫描 软件 ， 
在 不 依赖 任何 对 病毒 预先 的 学 习 和 辅助 信息 ， 如 特征 值 、 校 验 和 等 的 情况 下 ， 可 以 检查 
出 许多 未 知 的 新 病毒 。 当 然 ， 可 能 会 出 现 一 些 虚 报 /谎报 的 情况 。 

4) 虚拟 机 技术 

多 态 性 病毒 每 次 感染 都 改变 其 病毒 密 钥 , 对 付 这 种 病毒 , 普通 特征 值 检测 方法 失效 。 
因为 多 态 性 病毒 对 其 代码 实施 加 密 变换 ， 而 且 每 次 传染 使 用 不 同 密 钥 。 把 染 毒 文件 小 的 
病毒 代码 相互 比较 ， 也 不 易 找 出 相同 的 可 作为 病毒 特征 的 稳定 特征 值 。 虽 然 行为 监测 技 
术 可 以 检测 多 态 性 病毒 ， 但 是 在 检测 出 病毒 后 ， 无 法 做 病毒 清除 处 理 ， 因 为 不 知 该 病毒 
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的 具体 特性 。 

一 般 而 言 ， 多 态 性 病毒 采用 以 下 几 种 操作 来 不 断交 换 自己 。 

(1) 采用 等 价 代码 对 原 有 代码 进行 替换 。 

(2) 改变 与 执行 次 序 无 关 的 指令 的 次 序 。 

(3) 增加 许多 垃圾 指令 。 

(4) 对 原 有 病毒 代码 进行 压缩 或 加 密 。 

但 是 ， 无 论 病毒 如 何 变化 、 每 一 个 多 态 病毒 在 其 自身 执行 时 都 要 对 自身 进行 还 原 。 
为 了 检测 多 态 性 病毒 ， 反 病毒 专家 研制 了 一 种 新 的 检测 方法 一 一 虚拟 机 技术 。 该 技术 也 
称 为 软件 模拟 法 ， 它 是 一 种 软件 分 析 器 ， 用 软件 方法 来 模拟 和 分 析 程序 的 运行 ， 而 且 程 
序 的 运行 不 会 对 系统 起 实际 的 作用 ( 仅 是 “模拟 ”)， 因 而 不 会 对 系统 造成 危害 。 其 实质 
都 是 让 病毒 在 虚拟 的 环境 执行 ， 从 而 让 其 原形 毕露 、 无 处 通 形 。 

目前 大 多 数 反 病 毒 软件 都 采用 了 虚拟 机 技术 ， 反 病毒 软件 开始 运行 时 ， 使 用 特征 值 
检测 方法 检测 病毒 。 如 果 发 现 隐 蔽 式 病毒 或 多 态 性 病毒 ， 启 动 软件 模拟 模块 ， 监 视 病毒 
的 运行 ， 待 病毒 自身 的 加 密 代码 解码 后 ， 再 运用 特征 值 检测 方法 来 识别 病毒 的 种 类 。 

虚拟 机 技术 在 处 理 加 密 (encryption)、 变 换 (mutation)、 变 形 〈polymormhic) 病毒 
方面 功能 卓越 ， 显 示 出 该 技术 的 优越 性 。 变 形 病毒 在 传染 的 过 程 中 不 断 地 变化 自己 ， 所 
以 提取 它们 的 特征 码 非 常 困难 。 但 是 ,任何 变形 病毒 都 会 在 执行 时 在 内 存 中 加 密 /还 原 成 
自身 。 虚 拟 机 正 是 利用 了 这 一 点 ， 根 本 不 需要 关心 变形 病毒 的 特征 值 ， 而 是 虚拟 执行 它 
们 ， 这 样 就 会 将 它们 的 外 在 变化 全 部 去 掉 。 显 然 ， 在 这 种 情况 下 ， 病 毒 很 容易 被 捕获 。 

虚拟 机 的 引入 使 得 反 病 毒 软件 从 单纯 的 静态 分 析 进 入 了 动态 和 静态 分 析 相 结合 
境界 ， 极 大 地 提高 了 已 知 病毒 和 未 知 病毒 的 检测 水 平 ， 以 相对 比较 少 的 代价 获得 了 可 观 
的 突破 。 在 今后 相当 长 的 一 段 时 间 内 ， 虚 拟 机 在 合理 的 完整 性 、 技 术 技 巧 等 方面 都 会 有 
相当 的 进展 。 

5) 行为 监控 技术 

病毒 不 论 伪 装 得 如 何 巧 妙 ， 它 总 是 存在 着 一 些 和 正常 程序 不 同 的 行为 。 例 如 ， 病 毒 
总 要 不 断 复制 自己 ， 否 则 它 无 法 传染 。 再 如 ， 病 毒 总 是 要 想方设法 地 掩盖 自己 的 复制 过 
程 ， 如 不 改变 自己 所 在 文件 的 修改 时 间 等 。 病 毒 的 这 些 伪装 行为 做 得 越 多 ， 特 征 值 检 测 
技术 越 难 以 发 现 它们 ， 由 此 反 病 毒 专 家 提出 了 病毒 行为 监测 技术 ， 专 门 监测 病毒 行为 。 
行为 监控 是 指 通 过 审查 应 用 程序 的 操作 来 判断 是 否 有 恶意 (病毒 ) 倾向 并 向 用 户 发 出 警 
告 。 这 种 技术 能 够 有 效 防止 病毒 的 传播 ， 但 也 很 容易 将 正常 的 升级 程序 、 补 丁 程序 误 报 
为 病毒 。 病 毒 程序 的 伪装 行为 越 多 ， 它 们 露出 的 马 脚 就 越 多 ， 就 越 容易 被 监测 到 。 

人 们 通过 对 病毒 多 年 的 观察 、 研 究 , 发 现 病毒 有 一 些 共同 行为 。 在 正常 应 用 程序 中 ， 
这 些 行为 比较 罕见 。 这 就 是 病毒 的 行为 特性 。 

常见 的 病毒 行为 特性 如 下 。 

(1) 引导 型 病毒 必然 截留 盗用 INT 13H。 
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(2) 高 端 内 存 驻 留 型 病毒 修改 DOS 系统 数据 区 的 内 存 总 量 。 

(3) 内 存 控制 链 驻 留 型 病毒 修改 最 后 一 个 内 存 控制 块 (MCB) 的 段 址 。 

(4) 修改 INT21H、INT25H、INT 26H、INT 13H。 

(5) 修改 INT 24H DOS 严重 错误 中 断 。 

(6) 对 可 执行 文件 进行 写 操作 (如 修改 PE 文件 图 标 资源 、 写 入 代码 等 )。 

(7) 不 断 搜 索 目 标 PE 文件 。 

(8) 释放 可 执行 程序 到 系统 目录 并 运行 。 

(9) 在 非 代 码 节 执行 代码 。 

(10) 写 磁盘 引导 区 。 

(11) 病毒 程序 与 宿主 程序 的 切换 。 

(12) 从 远程 网 站 下 载 PE 文件 并 运行 。 

以 上 就 是 病毒 的 行为 特性 ， 正 常 程序 也 可 能 具有 此 类 行为 ， 但 是 只 有 病毒 才 会 同时 
具有 数 种 病毒 行为 。 利 用 此 点 ， 就 可 以 对 病毒 实施 监视 ， 在 病毒 传染 时 发 出 报警 。 

但 极 少 数 正 常 程 序 也 有 类 似 的 病毒 行为 ， 称 为 类 病毒 行为 。 例 如 : 

(1) 杀 病 毒 工具 去 写 有 毒 的 可 执行 程序 。 

(2) 某 些 安装 程序 动态 修改 可 执行 程序 。 

(3) 加 密 程序 对 被 加 密 程序 的 写 入 行为 。 

(4) 反 病 毒 工具 携带 某 些 数据 文件 ， 这 些 文 件 中 的 某 些 随机 数据 非常 类 似 于 反 病 毒 
工具 的 判 据 。 

(5) 某 些 程序 自己 修改 自己 ， 如 MS-DOS 系统 的 SETVER.EXE。 

病毒 行为 监控 工具 遇 到 上 述 具 有 类 病毒 行为 的 正常 程序 时 就 会 误 报 警 。 

完全 没有 误 报 警 的 工具 是 十 分 理想 的 ， 然 而 ， 凡 是 采用 病毒 行为 做 判 据 的 反 病 毒 工 
有 具 难 以 做 到 不 误 报警 。 误 报警 会 对 不 懂 计 算 机 的 用 户 带 来 惊吓 和 误导 。 只 有 对 于 计算 机 
和 病毒 比较 了 解 的 人 ， 对 误 报警 才能 具体 分 析 。 

行为 监测 技术 的 优点 有 : 可 发 现 未 知 病毒 、 可 相当 准确 地 预报 未 知 的 多 数 病毒 。 行 
为 监测 技术 的 不 足 是 : 可 能 误 报警 、 不 能 识别 病毒 名 称 和 实现 时 有 一 定 难度 。 

6) 主动 防御 技术 

主动 防御 技术 是 指 以 “程序 行为 自主 分 析 判 定 法 ”为 理论 基础 ， 其 关键 是 从 反 病 毒 
领域 普遍 遵循 的 计算 机 病毒 的 定义 出 发 ， 采 用 动态 仿真 技术 ， 依 据 专 家 分 析 程 序 行为 、 
判定 程序 性 质 的 逻辑 ， 模 拟 专 家 判定 病毒 的 机 理 ， 实 现 对 新 病毒 提前 防御 。 

主动 防御 是 一 种 阻止 恶意 程序 执行 的 技术 。 它 比较 好 地 弥补 了 传统 杀毒 软件 采用 
“特征 码 查 杀 ”和 “监控 ”相对 滞后 的 技术 弱点 ， 可 以 在 病毒 发 作 时 进行 主动 而 有 效 的 全 
面 防范 ， 从 技术 层面 上 有 效应 对 未 知 病毒 的 肆虐 。 

主动 防御 技术 并 不 是 一 项 全 新 的 技术 ， 从 某 种 程度 上 说 ， 其 集成 了 启发 式 扫描 技术 
和 行为 监控 及 行为 阻 断 等 技术 。 
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2. 典型 反 病毒 产品 介绍 


目前 知名 的 反 病毒 软件 厂商 很 多 ， 部 分 列表 如 下 。 


杀毒 软件 开发 公司 /开发 者 
瑞星 杀毒 软件 北京 瑞星 科技 股份 有 限 公 司 
金山 毒霸 金山 软件 公司 
江 民 杀毒 软件 北京 江 民 新 科技 术 有 限 公 司 
安 天 防线 安 天 实验 室 
微 点 主动 防御 软件 东方 微 点 
AntiVir AVIRA 
Avast! ALWIL Software 
AVG Grisoft 
BitDefender SoftWin SRL 
Clam AntiVims Tomasz Kojm 
DrWeb DrWeb 有 限 公 司 
F-Secure F-Secure 
Kaspersky (卡巴 斯 基 ) Kaspersky Lab 
McAfee McAfee 
NOD32 Eset 
Norton (诺顿 ) 赛 门 铁 克 
Norman Anti-Virus Norman 
Windows Defender 微软 
Windows Live OneCare 微软 
Panda Panda Software 
PC-cillin 趋势 科技 
Sophos Sophos Plc 
驱逐 舰 杀毒 软件 New Technology Wave Incorporated 


4.2 黑客 攻击 及 其 预防 


4.2.1 黑客 和 黑客 攻击 


黑客 (Hacker) 在 当前 的 网 络 世界 中 有 褒贬 两 重 含义 。 从 蛮 义 方面 讲 ， 黑 客 特 指 一 
些 特别 优秀 的 程序 员 或 技术 专家 。1998 年 ， 日 本 出 版 了 《新 黑客 字典 》， 可 以 看 到 上 面 
对 黑客 的 定义 是 :“ 喜 欢 探索 软件 程序 奥秘 、 并 从 中 增长 其 个 人 才干 的 人 。 他 们 不 像 绝 大 
多 数 计算 机 使 用 者 ， 只 规 规矩 失 地 了 解 别人 指定 了 解 的 范围 狭小 的 部 分 知识 ”。 他 们 对 于 
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操作 系统 和 编程 语言 有 着 深刻 的 认识 ， 乐 于 探索 操作 系统 的 奥秘 且 善 于 通过 探索 了 解 系 
统 中 的 漏洞 及 其 原因 所 在 ， 他 们 恪守 这 样 一 条 准则 : Never damage any system〔 永 不 破 
坏 任何 系统 )。 从 贬义 方面 讲 ， 黑 客 是 一 些 蓄意 破坏 计算 机 和 电话 系统 的 人 。 真 正 的 黑客 
把 这 些 人 叫做 “ 骇 客 〈cracker)”， 并 不 层 与 之 为 伍 。 专 门 以 破坏 别人 安全 为 目的 的 行为 
并 不 能 使 你 成 为 一 名 黑客 ， 正 如 用 铁丝 偷 开 走 汽车 并 不 能 使 你 成 为 一 个 汽车 工程 师 。 

这 里 主要 介绍 一 些 黑客 的 基本 知识 ， 包 括 信息 的 收集 和 攻击 的 方式 。 

1. 信息 的 收集 

黑客 攻击 的 效果 和 他 们 对 目标 的 了 解 程度 有 着 直接 的 相关 性 。 因 此 ， 信 息 收集 在 攻 
击 过 程 中 占据 着 头等 重要 位 置 ， 包 括 财务 数据 、 硬 件 配 置 、 人 员 结 构 、 网 络 架 构 和 整体 
利益 等 诸多 方面 .而 且 因 特 网 上 的 共享 资源 可 以 为 几乎 任何 攻击 阶段 提供 有 价值 的 信息 。 
信息 收集 的 主要 方式 如 下 。 

(1) 网 络 监测 。 一 类 快速 检测 网 络 中 计算 机 漏洞 的 工具 。 包 括 嗅 探 应 用 软件 ， 能 在 
计算 机 内 部 或 通过 网 络 来 捕捉 传输 过 程 中 的 密码 等 数据 信息 。 

(2) 社会 工程 。 运 用 操纵 技巧 来 获取 信息 ， 例 如 ， 在 喝 啤 酒 交谈 过 程 中 询问 对 方 密 
码 或 账号 等 信息 ， 或 是 伪装 成 另 一 个 人 骗取 信息 。 

(3) 公共 资源 和 垃圾 。 从 公开 的 广告 资料 甚至 是 垃圾 中 收集 信息 。 

(4) 后 门 工具 。 这 是 一 些 工具 包 ， 用 来 掩盖 计算 机 安全 已 受到 威胁 的 事实 。 

2. 黑客 攻击 方式 

黑客 主要 的 攻击 方式 有 以 下 几 种 。 

(1) 拒绝 服务 攻击 。 

(2) 缓冲 区 溢出 攻击 。 

(3) 漏洞 攻击 。 

(4) 欺骗 攻击 


4.2.2 ”拒绝 服务 攻击 与 防御 


拒绝 服务 攻击 (Denial of Service，DoS) 是 由 人 为 或 非 人 为 发 起 的 行动 ， 使 主机 硬 
件 、 软件 或 者 两 者 同时 失去 工作 能 力 , 使 系统 不 可 访问 并 因此 拒绝 合法 的 用 户 服务 要 求 。 
拒绝 服务 攻击 的 主要 企图 是 借助 于 网 络 系 统 或 网 络 协 议 的 缺陷 和 配置 漏洞 进行 网 络 攻 
击 ， 使 网 络 拥塞 、 系 统 资源 耗 尽 或 者 系统 应 用 死 锁 ， 妨 碍 目标 主机 和 网 络 系统 对 正常 用 
户 服务 请 求 的 及 时 响应 ， 造 成 服务 的 性 能 受 损 甚 至 导致 服务 中 断 。 

要 对 服务 器 实施 拒绝 服务 攻击 ， 有 两 种 思路 。 

(1) 服务 器 的 缓冲 区 满 ， 不 接收 新 的 请 求 。 

(2) 使 用 卫 欺骗 ,迫使 服务 器 把 合法 用 户 的 连接 复位 ， 影 响 合法 用 户 的 连接 。 这 也 
是 DoS 攻击 实施 的 基本 思想 。 
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1. 传统 拒绝 服务 攻击 的 分 类 

拒绝 服务 攻击 有 许多 种 ， 网 络 的 内 外 部 用 户 都 可 以 发 动 这 种 攻击 。 内 部 用 户 可 以 通 
过 长 时 间 占 用 系统 的 内 存 、CPU 处 理 时 间 使 其 他 用 户 不 能 及 时 得 到 这 些 资源 ， 而 引起 拒 
绝 服务 攻击 ; 外 部 黑客 也 可 以 通过 占用 网 络 连接 使 其 他 用 户 得 不 到 网 络 服务 。 本 节 主 要 
讨论 外 部 用 户 实施 的 拒绝 服务 攻击 。 

外 部 用 户 针对 网 络 连 接 发 动 拒绝 服务 攻击 主要 有 以 下 几 种 模式 。 

(1) 消耗 资源 。 计 算 机 和 网 络 需 要 一 定 的 条 件 才能 运行 ， 如 网 络 带 宽 、 内 存 、 磁 盘 
空间 和 CPU 时 间 。 攻 击 者 利用 系统 资源 有 限 这 一 特征 ， 或 者 是 大 量 地 申请 系统 资源 ， 并 
长 时 间 地 占用 ; 或 者 是 不 断 地 向 服务 程序 发 请 求 ， 使 系统 忙于 处 理 自己 的 请 求 ， 而 无 暇 
为 其 他 用 户 提供 服务 。 攻 击 者 可 以 针对 以 下 几 种 资源 发 起 拒绝 服务 攻击 。 

Q@ 针对 网 络 连接 的 拒绝 服务 攻击 。 

@ 消耗 磁盘 空间 。 

@ 消耗 CPU 资源 和 内 存 资源 。 

(2) 破坏 或 更 改 配置 信息 。 计 算 机 系统 配置 上 的 错误 也 可 能 造成 拒绝 服务 攻击 ， 尤 
其 是 服务 程序 的 配置 文件 以 及 系统 、 用 户 的 启动 文件 。 这 些 文件 一 般 只 有 该 文件 的 属 主 
才 可 以 写 入 ， 如 果 权 限 设置 有 误 ， 攻 击 者 〈 包 括 已 获得 一 般 访问 权 的 黑客 与 恶意 的 内 部 
用 户 ) 可 以 修改 配置 文件 ， 从 而 改变 系统 向 外 提供 服务 的 方式 。 

(3) 物理 破坏 或 改变 网 络 部 件 。 这 种 拒绝 服务 针对 的 是 物理 安全 ， 一 般 来 说 ， 通 过 
物理 破坏 或 改变 网 络 部 件 以 达到 拒绝 服务 的 目的 。 其 攻击 的 目标 有 计算 机 、 路 由 器 、 网 
络 配 线 室 、 网 络 主干 段 、 电 源 、 冷 却 设备 和 其 他 的 网 络 关键 设备 。 

(4) 利用 服务 程序 中 的 处 理 错误 使 服务 失效 。 最 近 出 现 了 一 些 专门 针对 Windows 
系统 的 攻击 方法 ， 如 LAND 等 。 被 这 些 工 具 攻 击 之 后 ， 目 标 机 的 网 络 连 接 就 会 莫名 其 妙 
地 断 掉 ， 不 能 访问 任何 网 络 资源 ， 或 者 出 现 莫 名 其 妙 的 蓝屏 ， 系 统 进 入 死 锁 状况 。 这 些 
攻击 方法 主要 利用 服务 程序 中 的 处 理 错 误 ， 发 送 一 些 该 程序 不 能 正确 处 理 的 数据 包 ， 引 
起 该 服务 进入 死 循环 。 

2. 分 布 式 拒绝 服务 攻击 

分 布 式 拒绝 服务 (Distributed Denial of Service，DDoS) 攻击 是 对 传统 DoS 攻击 的 
发 展 ， 攻 击 者 首先 侵入 并 控制 一 些 计 算 机 ， 然 后 控制 这 些 计 算 机 同时 向 一 个 特定 的 目标 
发 起 拒绝 服务 攻击 。 传 统 的 拒绝 服务 攻击 有 受 网 络 资源 的 限制 和 隐蔽 性 差 两 大 缺点 ， 而 
分 布 式 拒绝 服务 攻击 克服 了 传统 拒绝 服务 攻击 的 这 两 个 致命 弱点 。 分 布 式 拒绝 服务 攻击 
的 隐蔽 性 更 强 。 通 过 间接 操纵 网 络 上 的 计算 机 实施 攻击 ， 突 破 了 传统 攻击 方式 从 本 地 攻 
击 的 局 限 性 。 被 DDoS 攻击 时 可 能 的 现象 如 下 。 

(1) 被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 。 

(2) 大 量 到 达 的 数据 分 组 (包括 TCP 分 组 和 UDP 分组) 并 不 是 网 站 服务 连接 的 一 
部 分 ， 往 往 指向 机 器 的 任意 端口 。 
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(3) 网 络 中 充斥 着 大 量 的 无 用 数据 包 ， 源 地 址 为 假 。 

(4) 制造 高 流量 的 无 用 数据 ， 造 成 网 络 拥塞 ， 使 受害 主机 无 法 正常 和 外 界 通信 。 

(5) 利用 受害 主机 提供 的 服务 和 传输 协议 上 的 缺陷 ， 反 复发 出 服务 请 求 ， 使 受害 主 
机 无 法 及 时 处 理 所 有 正常 请 求 。 

(6) 严重 时 会 造成 死机 。 

DDoS 引入 了 分 布 式 攻击 和 Client/Server 结构 ， 使 DoS 的 威力 激增 。 同 时 ，DDoS 
襄 括 了 已 经 出 现 的 各 种 重要 的 DoS 攻击 方法 ， 比 DoS 的 危害 性 更 大 。 现 有 的 DDoS 工 
具 一 般 采 用 三 级 结构 ， 如 图 4-4 所 示 。 其 中 ，Client (客户 端 ) 运行 在 攻击 者 的 主机 上 ， 
用 来 发 起 和 控制 DDoS 攻击 ; Handler ( 主 控 端 ) 运行 在 已 被 攻击 者 侵入 并 获得 控制 的 主 
机 上 ， 用 来 控制 代理 端 ，Agent〈 代 理 端 ) 运行 在 已 被 攻击 者 侵入 并 获得 控制 的 主机 上 ， 


从 主 控 端 接收 命令 ， 负 责 对 目标 实施 实际 的 攻击 。 


三 至 | 
Client Client 
] | 再 浊 
| 
[i EE 四 | 图 
误 二 和 
Handler| Handler Handler Handler 

世上 全 二 |a 国 | |: 时 | | |4 全 | |: 和 | 卜 |: 卜 | 
可 对 和 gag peas | 站 到 本 人 ge 
TT 
EE EE | 一 | 可 要 下 | 所 本 时 和 踢 睛 眼中 
Agent Agent Agent Agent Agent Agent Agent Agent 


图 4-4 DDoS 的 三 级 控制 结构 


3。. 拒绝 服务 攻击 的 防御 方法 
操作 系统 和 网 络 设备 的 缺陷 在 不 断 地 被 发 现 并 被 攻击 者 所 利用 来 进行 恶意 的 攻击 。 


如 果 清 楚 地 认识 到 这 一 点 ， 应 当 使 用 下 面 的 方法 尽量 阻止 拒绝 服务 攻击 。 


(1) 加 强 对 数据 包 的 特征 识别 ， 攻 击 者 在 传达 攻击 命令 或 发 送 攻击 数据 时 ， 虽 然 都 
加 入 了 伪装 甚至 加 密 ， 但 是 其 数据 包 中 还 是 有 一 些 特征 字符 串 。 通 过 搜寻 这 些 特征 字符 
串 ， 就 可 以 确定 攻击 服务 器 和 攻击 者 的 位 置 。 

(2) 设置 防火 墙 监视 本 地 主机 端口 的 使 用 情况 。 对 本 地 主机 中 的 敏感 端口 ， 如 UDP 
31335、UDP 27444、TCP 27665， 进 行 监视 ， 如 果 发 现 这 些 端 口 处 于 监听 状态 ， 则 系统 
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很 可 能 受到 攻击 。 即 使 攻击 者 已 经 对 端口 的 位 置 进行 了 一 定 的 修改 ， 但 如 果 外 部 主机 主 
动向 网 络 内 部 高 标号 端口 发 起 连接 请 求 ， 则 系统 也 很 可 能 受到 侵入 。 

(3) 对 通信 数据 量 进行 统计 也 可 获得 有 关 攻 击 系统 的 位 置 和 数量 信息 。 例 如 ， 在 攻 
击 之 前 ， 目 标 网 络 的 域名 服务 器 往往 会 接收 到 远 远 超过 正常 数量 的 反 向 和 正 向 的 地 址 查 
询 。 在 攻击 时 ， 攻 击 数据 的 来 源 地 址 会 发 出 超出 正常 极限 的 数据 量 。 

(4) 尽 可 能 地 修正 已 经 发 现 的 问题 和 系统 漏洞 。 


4.2.3 缓冲 区 溢出 攻击 与 防御 


缓冲 区 溢出 攻击 是 一 种 通过 往 程 序 的 缓冲 区 写 超出 其 长 度 的 内 容 ， 造 成 缓冲 区 溢 
出 ， 从 而 破坏 程序 的 堆栈 , 使 程序 转 而 执行 其 他 预 设 指 令 , 以 达到 攻击 目的 的 攻击 方法 。 
缓冲 区 溢出 是 一 个 非常 普遍 、 非 常 严重 的 漏洞 ， 在 各 种 操作 系统 中 广泛 存在 。 

1. 缓冲 区 溢出 攻击 原理 

缓冲 区 是 计算 机 内 存 中 的 一 个 连续 块 ， 保 存 了 给 定 类 型 的 数据 。 当 进行 大 量 动态 内 
存 分 配 而 又 管理 不 当时 ， 就 会 出 现 问 题 。 动 态 变量 所 需要 的 缓冲 区 ， 是 在 程序 运行 时 才 
进行 分 配 的 。 如 果 程 序 在 动态 分 配 的 缓冲 区 中 放 入 超 长 的 数据 ， 它 就 会 溢出 。 缓 冲 区 滋 
出 攻击 的 基本 原理 是 向 缓冲 区 中 写 入 超 长 的 、 预 设 的 内 容 ， 导 致 缓冲 区 溢出 ， 覆 盖 其 他 
正常 的 程序 或 数据 ， 然 后 让 计算 机 转 去 运行 这 行 预 设 的 程序 ， 达 到 执行 非法 操作 、 实 现 
攻击 的 目的 。 


2。 缓冲 区 溢出 实例 内 存 低 端 
众所周知 ，C 语言 不 进行 数组 的 边界 检查 。 在 许 
多 C 语言 实现 的 应 用 程序 中 ， 都 假定 缓冲 区 的 长 度 是 
足够 的 , 即 它 的 长 度 肯定 大 于 要 复制 的 字符 串 的 长 度 ， 


事实 上 却 并 非 如 此 。 通 常 ， 一 个 程序 在 内 存 中 分 为 程 
序 段 、 数 据 段 和 堆栈 三 部 分 。 程 序 段 里 放 着 程序 的 机 图 4-5 一 个 程序 在 内 存 中 的 存放 
器 码 和 只 读数 据 ; 数据 段 放 程序 中 的 静态 数据 ; 动态 数据 则 通过 堆栈 来 存放 。 在 内 存 中 ， 
它们 的 位 置 如 图 4-5 所 示 。 

举 一 个 简单 的 例子 描述 上 述 过 程 : 


void main() void function (char *str) 
和 £ 
pi char buffer[16]; 
char buffer[128]; strcpy (buffer, str); 


for (i=0;i<127;i++) } 
buffer[i] =’A’; 

buffer[127]=0; 

function (buffer) ; 
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print ("This is a test\n"); 
和 


这 是 一 个 典型 的 存在 缓冲 区 游 出 错误 的 程序 。 在 函数 fanction0 中 ,将 一 个 128 字 节 
长 度 的 字符 串 复制 到 只 有 16 字 节 长 的 局 部 缓冲 区 中 ， 在 调用 strecpy0 进 行 字符 串 复制 时 
没有 进行 缓冲 区 越界 检查 。 在 图 4-6 中 可 以 看 到 执行 函数 function0 时 的 堆栈 情形 。 


内 存 高 端 


压 入 堆栈 中 
传递 的 参数 


Buffer 
16 字 节 空间 


执行 strcpy0 之 前 执行 strcpy0 之 后 
图 4-6 调用 函数 fanction0 时 堆栈 的 情形 


执行 此 程序 得 不 到 输出 This is a test。 因 为 程序 没有 执行 到 这 一 步 ， 当 程序 执行 到 
function() 时 ， 子 程序 执行 完毕 ， 应 返回 到 执行 print 〈("This is a testm") 处 。 但 是 ， 由 于 
缓冲 区 已 经 溢出 , 子 程序 的 返回 地 址 变 成 了 0x41414141 一 一 一 个 显然 还 在 进程 地 址 空间 
但 已 不 是 程序 正常 流程 的 地 址 ， 无 法 预料 在 这 里 程序 会 执行 什么 指令 ， 但 本 程序 很 小 ， 
不 会 引起 严重 后 果 。 因为 0x41414141 是 在 主 程序 中 对 字符 串 数组 赋值 时 写 入 的 值 , 可 以 
设想 ， 假 如 在 主 程序 中 对 字符 串 数组 赋值 时 ， 将 一 个 有 危险 指令 序列 的 地 址 以 字符 串 方 
式 填 入 在 刚好 覆盖 子 程序 返回 地 址 的 数组 位 置 ， 那 么 子 程序 执行 完 返回 时 ， 就 会 执行 这 
一 段 危险 指令 ， 其 后 果 将 是 不 可 预料 的 。 

3. 缓冲 区 溢出 程序 的 要 素 及 执行 步骤 

通过 上 面 的 分 析 可 知 ， 修 改 程序 的 返回 地 址 ， 让 它 去 执行 一 段 精心 准备 的 程序 ， 可 
以 达到 攻击 的 目的 。 一 个 缓冲 区 溢出 程序 的 执行 通常 由 以 下 4 个 步骤 组 成 。 
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(1) 准备 一 段 可 以 调 出 一 个 shell 的 机 器 码 形式 的 字符 串 ， 称 之 为 SHELLCODE。 

(2) 申请 一 个 缓冲 区 ， 并 将 机 器 码 填 入 缓冲 区 的 低 端 。 

(3) 估算 机 器 码 在 堆栈 中 的 起 始 位 置 ， 并 将 这 个 位 置 写 入 缓冲 区 的 高 端 。 

(4) 将 这 个 缓冲 区 作为 系统 的 一 个 有 着 缓冲 区 溢出 错误 的 程序 的 入 口 参数 ， 并 执行 
这 个 有 错误 的 程序 。 

总 而 言 之 ， 这 种 攻击 能 够 成 功 主要 是 利用 了 程序 中 边界 条 件 、 函 数 指针 等 设计 不 当 
的 漏洞 ， 即 利用 了 C 程序 本 身 的 不 安全 性 。 而 大 多 数 UNIX、Linux、Windows 系统 的 开 
发 都 依赖 于 C 语言 ， 所 以 缓冲 区 溢出 攻击 成 为 操作 系统 、 数 据 库 等 应 用 程序 最 普遍 的 漏 
洞 之 一 。 

4. 缓冲 区 溢出 攻击 的 防御 

缓冲 区 溢出 攻击 的 防范 是 和 整个 系统 的 安全 性 分 不 开 的。 如 果 整 个 网 络 系统 的 安全 
设计 很 差 ， 则 遭受 缓冲 区 溢出 攻击 的 机 会 也 大 大 增加 。 针 对 缓冲 区 溢出 ， 可 以 采取 多 种 
防范 策略 。 

1) 系统 管理 上 的 防范 策略 

(1) 关闭 不 需要 的 特权 程序 。 

(2) 及 时 给 程序 漏洞 打 补丁 。 

2) 软件 开发 过 程 中 的 防范 策略 

发 生 缓冲 区 溢出 的 主要 及 各 要 素 是 : 数组 没有 边界 检查 而 导致 的 缓冲 区 溢出 ; 函数 
返回 地 址 或 函数 指针 被 改变 ， 使 程序 流程 的 改变 成 为 可 能 ， 植 入 代码 被 成 功 地 执行 等 。 
所 以 针对 这 些 要 素 ， 从 技术 上 可 以 采取 一 定 的 措施 。 

(1) 编写 正确 的 代码 。 只 要 在 所 有 复制 数据 的 地 方 进行 数据 长 度 和 有 效 性 的 检查 ， 
确保 目标 缓冲 区 中 数据 不 越界 并 有 效 ， 就 可 以 避免 缓冲 区 溢出 ， 更 不 可 能 使 程序 跳 转 到 
恶意 代码 上 。 

(2) 缓冲 区 不 可 执行 。 通 过 使 被 攻击 程序 的 数据 段 地 址 空间 不 可 执行 ， 从 而 使 得 攻 
击 者 不 可 能 执行 被 植 入 被 攻击 程序 输入 缓冲 区 的 代码 ， 这 种 技术 被 称 为 缓冲 区 不 可 执行 
技术 。 

(3) 改进 C 语言 函数 库 。C 语言 中 存在 缓冲 区 溢出 攻击 隐患 的 系统 函数 有 很 多 ， 如 
gets()、sprintf()、strepy()、strcat()、fscanf()、scanfQ 〇 和 vsprintf() 等 。 可 以 开发 出 更 安全 的 
封装 了 若干 已 知 易 受 堆 栈 涪 出 攻击 的 库 函 数 。 

(4) 使 堆栈 向 高 地 址 方向 增长 。 使 用 的 机 器 堆栈 压 入 数据 时 向 高 地 址 方向 前 进 ， 那 
么 无 论 缓 冲 区 如 何 溢出 ， 都 不 可 能 覆盖 低地 址 处 的 函数 返回 地 址 指针 ， 也 就 避免 了 组 
冲 区 溢出 攻击 。 但 是 ， 这 种 方法 仍然 无 法 防范 利用 堆 和 静态 数据 段 的 缓冲 区 进行 溢出 的 
攻击 。 

(5) 程序 指针 完整 性 检查 。 原 理 是 每 次 在 程序 指针 被 引用 之 前 先 检测 该 指针 是 否 已 
被 恶意 改动 过 ， 如 果 发 现 被 改动 ， 程 序 就 拒绝 执行 。 
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(6) 利用 编译 器 将 静态 数据 段 中 的 函数 地 址 指针 存放 地 址 和 其 他 数据 的 存放 地 址 
分 离 。 


4.2.4 程序 漏洞 攻击 与 防御 


漏洞 是 在 硬件 、 软 件 、 协 议 的 具体 实现 或 系统 安全 策略 上 存在 的 缺陷 ， 从 而 可 以 使 
攻击 者 能 够 在 未 授权 的 情况 下 访问 或 破坏 系统 。 从 某 种 意义 上 来 说 ， 程 序 存在 的 错误 几 
乎 在 所 难免 。 软 件 开 发 者 任何 一 个 小 小 的 疏忽 和 廖 误 都 会 给 入 侵 者 以 可 乘 之 机 ， 因 此 ， 
利用 处 理 程序 的 错误 对 系统 进行 攻击 是 黑客 们 惯用 的 手段 之 一 。 本 节 主 要 从 Web 程序 和 
TCP/IP 漏洞 角度 来 探讨 程序 漏洞 及 防御 。 

1. Web 程序 漏洞 攻击 与 防御 

1) CGI 漏洞 攻击 

CGI 即 公共 网 关 接 口 ， 在 Web 服务 器 上 定义 了 Web 客户 请 求 与 应 答 的 一 种 方式 ， 
是 外 部 扩展 应 用 程序 (如 perl 脚本 ) 与 WWW 服务 器 交互 的 一 个 标准 接口 。 

在 计算 机 领域 ， 尤 其 在 Intemet 上 ， 尽 管 大 部 分 Web 服务 器 所 编 的 程序 都 尽 可 能 保 
护 自己 的 内 容 不 受 侵害 , 但 只 要 CGI 脚本 中 有 一 点 安全 方面 的 失误 ， 如 口令 文件 、 私 有 
数据 以 及 任何 其 他 敏感 内 容 ， 就 能 使 入 侵 者 方便 地 侵入 到 计算 机 。 遵 循 一 些 简单 的 规则 
并 保持 警惕 能 使 CGI 脚本 免 受 侵害 ， 从 而 保护 用 户 的 权益 。 

下 面 就 来 详细 介绍 一 下 关于 CGI 的 漏洞 。 

(1) 配置 错误 。 主 要 是 指 CGI 程序 和 数据 文件 的 权限 设置 不 当 ， 导 致 CGI 源 代 码 或 
敏感 信息 泄露 。 还 有 一 个 经 常 犯 的 错误 就 是 安装 完 CGI 程序 后 没有 删除 安装 脚本 ， 这 样 
攻击 者 就 可 能 远程 重 置 数据 。 

(2) 边界 条 件 错 误 。 主 要 针对 C 语言 编写 的 CGI， 利 用 这 个 错误 ， 攻 击 者 可 能 发 起 
缓冲 区 溢出 攻击 ， 从 而 提升 权限 。 

(3) 访问 验证 错误 。 主 要 是 因为 用 于 验证 的 条 件 不 足以 确定 用 户 的 身份 而 造成 的 ， 
经 常会 导致 未 经 授权 访问 ， 修 改 甚 至 删除 没有 访问 权限 的 内 容 。 用 于 确定 用 户 身 份 的 方 
法 一 般 有 两 种 ， 一 是 账号 和 和 密码， 二 是 Session 认证 。 而 不 安全 的 认证 方法 包括 Userid 
认证 、Cookie 认证 等 等 。 

(4) 来 源 验 证 错误 。 比 较 常 见 的 利用 这 种 错误 进行 攻击 的 方法 就 是 DoS， 也 就 是 拒 
绝 服务 攻击 。 如 灌水 机 ， 就 是 利用 CGI 程序 没有 对 文章 的 来 源 进 行 验证 ， 从 而 不 间断 地 
发 文章 ， 最 后 导致 服务 器 硬盘 充满 而 挂 起 。 

(5) 输入 验证 错误 。 这 种 错误 导致 的 安全 问题 最 多 , 主要 是 因为 没有 过 滤 特 殊 字符 。 
例如 ， 没 有 过 滤 %20 造成 的 畸形 注册 ， 没 有 过 滤 “../” 经 常 造成 泄露 系统 文件 ， 没 有 过 
滤 “$” 经 常 导致 泄露 网 页 中 的 敏感 信息 ， 没 有 过 滤 “:;” 经 常 导致 执行 任意 系统 指令 ， 
没有 过 滤 “|” 或 “\t” 经 常 导致 文本 文件 攻击 ， 没 有 过 滤 “”” 和 “#” 经 常 导致 SQL 数 
据 库 攻击 ， 没 有 过 滤 “<” 和 “>” 导 致 的 Cross-Site Scripting 攻击 等 。 


570 网 络 规划 设计 师 教 程 


(6) 异常 情况 处 理 失 败 。 如 没有 检查 文件 是 否 存 在 就 直接 打开 设备 文件 导致 拒绝 服 
务 ， 没 有 检查 文件 是 否 存在 就 打开 文件 提取 内 容 进行 比较 而 绕 过 验证 ， 上 下 文 攻击 导致 
执行 任意 代码 等 。 

(7) 策略 错误 。 这 种 错误 主要 是 由 于 编制 CGI 程序 的 程序 员 的 决策 造成 的 。 如 原始 
密码 生成 机 制 脆弱 导致 穷 举 密码 , 在 Cookie 中 明文 存放 账号 密码 导致 敏感 信息 泄露 , 使 
用 与 CGI 程序 不 同 的 扩展 名 存储 敏感 信息 导致 该 文件 被 直接 下 载 , 丢失 密码 模块 在 确认 
用 户 身份 之 后 直接 让 用 户 修改 密码 而 不 是 把 密码 发 到 用 户 的 注册 信箱 ， 登 录 时 采用 账号 
和 加 密 后 的 密码 进行 认证 导致 攻 击 者 不 需要 知道 用 户 的 原始 密码 就 能 够 登录 等 。 

防范 CGI 脚本 漏洞 的 主要 方法 如 下 。 

(1) 使 用 最 新 版 本 的 Web 服务 器 ， 安 装 最 新 的 补丁 程序 ， 正 确 配置 服务 器 。 

(2) 按照 帮助 文件 正确 安装 CGI 程序 ， 删 除 不 必要 的 安装 文件 和 临时 文件 。 

(3) 使 用 C 编写 CGI 程序 时 ， 使 用 安全 的 函数 。 

(4) 使 用 安全 有 效 的 验证 用 户 身份 的 方法 。 

(5) 验证 用 户 的 来 源 ， 防 止 用 户 短 时 间 内 过 多 动作 。 

(6) 推荐 过 滤 "&;`"\"|*?~<>^()[]{}$\n\rWt\0#./, 

(7) 在 设计 CGI 脚本 时 ， 其 对 输入 数据 的 长 度 有 严格 限制 。 

(8) 实现 功能 时 制定 安全 合理 的 策略 ，CGI 程序 还 应 具有 检查 异常 情况 的 功能 ， 在 
检查 出 陌生 数据 后 CGI 应 能 及 时 处 理 这 些 情 况 。 

2) SQL 注入 攻击 

随 着 BPS 模式 应 用 开发 的 发 展 ， 使 用 这 种 模式 编写 应 用 程序 的 程序 员 也 越 来 越 多 。 
但 是 由 于 程序 员 的 水 平 及 经 验 也 参差 不 齐 ， 相 当 大 一 部 分 程序 员 在 编写 代码 的 时 候 ， 没 
有 对 用 户 输入 数据 的 合法 性 进行 判断 ， 使 应 用 程序 存在 安全 隐患 。 用 户 可 以 提交 一 段 数 
据 库 查 询 代 码 ， 根 据 程 序 返 回 的 结果 获得 某 些 他 想 得 知 的 数据 ， 这 就 是 所 谓 的 SQL 
Injection， 即 SQL 注入 。SQL 注入 是 从 正常 的 WWW 端口 访问 , 而且 表面 看 起 来 跟 一 般 
的 Web 页 面 访问 没什么 区 别 ， 所 以 目前 市 面 的 防火 墙 都 不 会 对 SQL 注入 发 出 警报 ， 如 
果 管 理 员 没 查看 IS 日 志 的 习惯 ， 可 能 被 入 侵 很 长 时 间 都 不 会 发 觉 。 但 是 ，SQL 注入 的 
手法 相当 灵活 ， 在 注入 的 时 候 会 碰 到 很 多 意外 的 情况 。 需 要 根据 具体 情况 进行 分 析 ， 构 
造 巧 妙 的 SQL 语句 ， 从 而 成 功 获取 想 要 的 数据 。 

SQL 注入 攻击 的 过 程 主要 包含 以 下 几 步 。 

(1) 发 现 SQL 注入 位 置 。 

(2) 判断 后 台数 据 库 类 型 。 

(3) 确定 XP_CMDSHELL 可 执行 情况 。 

(4) 发 现 Web 虚拟 目录 。 

(5) 上 传 ASP 木马 。 

(6) 得 到 管理 员 权限 。 
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针对 SQL 注入 攻击 ， 可 以 使 用 下 面 的 方法 进行 防御 。 

(1) 下 载 SQL 通用 防 注 入 系统 的 程序 ， 在 需要 防范 注入 的 页 面 头 部 用 <!--# include 
file="xxx.asp"--> 来 防止 攻击 者 进行 手动 注入 测试 。 可 是 攻击 者 通过 SQL 注入 分 析 器 就 可 
轻松 跳 过 防 注入 系统 并 自动 分 析 其 注入 点 ， 然 后 只 需 几 秒 钟 ， 管 理 员 账号 及 密码 就 会 被 
分 析出 来 。 

(2) 对 于 注入 分 析 器 的 防范 ， 首 先 要 知道 SQL 注入 分 析 器 是 如 何 工作 的 。 如 果 分 析 
器 并 不 是 针对 admin 管理 员 账 号 ,而 是 针对 权限 (如 flag=1)， 那 么 无 论 管理 员 账号 怎么 
变 都 无 法 逃 过 检测 。 

(3) 既然 无 法 逃 过 检测 ， 那 可 以 建立 两 个 账号 ， 一 个 是 普通 的 管理 员 账 号 ， 一 个 是 
防 注入 的 账号 。 利 用 一 个 权限 最 大 的 账号 制造 假象 ， 吸 引 软件 的 检测 ， 而 这 个 账号 里 的 
内 容 是 大 于 千 字 以 上 的 中 文字 符 ， 就 会 迫使 软件 对 这 个 账号 进行 分 析 的 时 候 进 入 全 负荷 
状态 甚至 资源 耗 尽 而 死机 。 

下 面 进行 数据 库 的 修改 。 

Q@ 对 表 结 构 进行 修改 。 将 防 注入 账号 字段 的 数据 类 型 进行 修改 ， 文 本 型 改 成 最 大 
字段 255， 密 码 的 字段 也 进行 相同 的 设置 。 

@ 对 表 进行 修改 。 设 置 防 注入 账号 在 ID1， 并 输入 大 量 中 文字 符 。 

@ 把 真正 的 管理 员 密 码 放 在 ID2 后 的 任何 一 个 位 置 。 

完成 三 步 对 数据 库 的 修改 后 ， 还 需要 限制 向 管理 员 登 录 的 页 面 文件 中 写 入 字符 ， 如 
此 即使 攻击 者 破解 密码 也 无 法 登录 ， 而 真正 的 密码 则 可 以 不 受 限 制 。 

2. TCP/IP 漏洞 

这 种 攻击 主要 是 利用 TCP/IP 协议 实现 中 的 处 理 程序 错误 实施 拒绝 服务 攻击 ， 即 故 
意 错 误 地 设 定数 据 包头 的 一 些 重 要 字段 (如 下 包头 部 的 Total Length、Fragment offset、 
IHL 和 Source address 等 )， 使 用 Raw Socket 将 这 些 错误 的 卫 数据 包 发 送出 去 。 在 接收 
数据 端 ， 服 务 程序 通常 都 存在 一 些 问 题 ， 因 而 在 将 接收 到 的 数据 包 组 装 成 一 个 完整 的 数 
据 包 的 过 程 中 , 就 会 引起 系统 死机 、 挂 起 或 崩溃 , 无 法 继续 提供 服务 。 这 些 攻 击 包 括 Ping 
of Death 攻击 、Teardrop 攻击 、Winnuke 攻击 以 及 Land 攻击 等 。 

1) Ping of Death 攻击 

根据 TCP/IP 协议 的 规范 ， 一 个 包 的 长 度 最 大 为 65 536 字 节 。 尽 管 一 个 包 的 长 度 最 
大 不 能 超过 65 536 字 节 , 但 是 一 个 包 分 成 的 多 个 片段 的 县 加 却 能 做 到 。 当 一 个 主机 收 到 
了 长 度 大 于 65 536 字 节 的 包 时 , 就 是 受到 了 Ping of Death 攻击 , 该 攻击 会 造成 主机 死机 。 
攻击 者 故意 创建 一 个 长 度 大 于 65 536 字 节 (IP 协议 中 规定 最 大 的 他 包 长 为 65 536 字 节 ) 
的 ping 包 , 并 将 该 包 发送 到 目标 受害 主机 , 由 于 目标 主机 的 服务 程序 无 法 处 理 过 大 的 包 ， 
而 引起 系统 崩溃 、 挂 起 或 重启 。 

由 于 在 早期 阶段 ， 路 由 器 对 所 传输 的 数据 包 的 最 大 尺寸 都 有 限制 ， 许 多 操作 系统 对 
TCP/IP 的 实现 在 ICMP 包 上 都 是 规定 64KB， 并 且 在 对 包 的 标题 头 进行 读 取 之 后 ， 要 根 
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据 该 标题 头 里 包含 的 信息 来 为 有 效 载荷 生成 缓冲 区 ， 一 旦 产生 畸形 即 声明 自己 的 尺寸 超 
过 ICMP 上 限 的 包 ， 也 就 是 加 载 的 尺寸 超过 64KB 上 限时 ， 就 会 出 现 内 存 分 配 错误 ， 导 
致 TCP/IP 堆栈 崩溃 ， 致 使 接收 方 死机 。 这 种 攻击 方式 主要 是 针对 Windows 操作 系统 ， 
而 UNIX、Linux、Solaris、Mac OS 都 具有 抵抗 一 般 Ping of Death 攻击 的 能 力 。 目 前 ， 
所 有 的 操作 系统 都 对 此 进行 了 修补 或 升级 。 


最 大 Pp 报 文 长 度 


正常 报 文 | 报 文 头 部 | 报 文 内 容 | 


异常 报 文 


图 4-7 Ping of Death 攻击 报 文 


2) Teardrop 攻击 

一 个 全 分 组 在 网 络 中 传播 时 ， 由 于 沿途 各 个 链 路 的 最 大 传输 单元 不 同 , 路 由 器 常常 
会 对 全 包 进 行 分 组 ， 即 将 一 个 包 分 成 一 些 片段 ,使 每 段 都 足够 小 ， 以 便 通过 这 个 狭窄 的 
链 路 。 每 个 片段 将 具有 完整 的 他 包头 ,其 大 部 分 内 容 和 最 初 的 包头 相同 ,一 个 很 典型 的 
不 同 在 于 包头 中 还 包含 偏 移 量 (offset) 字段 。 随 后 各 片段 将 沿 着 各 自 的 路 径 独 立地 转发 
到 目的 地 ， 在 目的 地 最 终 将 各 片段 进行 重组 。 这 就 是 所 谓 的 人 P 包 的 分 段 /重组 技术 。 

Teardrop 攻击 就 是 利用 IP 包 的 分 段 / 重 组 技术 在 系统 实现 中 的 一 个 错误 ， 即 在 组 装 
卫 包 时 只 检查 了 每 段 数据 是 否 过 长 ， 而 没有 检查 包 中 有 效 数 据 的 长 度 是 否 过 小 。 当 包 中 
数据 长 度 为 负 时 ， 由 于 memcpy0 中 的 计数 器 是 一 个 反 码 ， 负 数 表示 一 个 非常 大 的 数值 。 
因为 瑟 包 重组 和 缓冲 区 通常 处 于 系统 核心 态 ， 缓冲 区 溢出 将 使 系统 崩溃 。 攻 击 者 可 以 通 
过 发 送 两 段 (或 者 更 多 ) 数据 包 来 实现 Teardrop 攻击 。 实 现 攻击 的 数据 包 中 ， 第 一 个 包 
的 偏 移 量 为 0， 长 度 为 N， 第 二 个 包 的 偏 移 量 小 于 N。 为 了 合并 这 些 数据 段 ，TCP/IP 堆 
栈 会 分 配 超 乎 寻常 的 巨大 资源 ， 从 而 造成 系统 资源 的 缺乏 ， 甚 至 机 器 重新 启动 。 

3) Winnuke 攻击 

Winnuke 攻击 针对 Windows 系统 上 一 般 都 开放 的 139 端口 ， 这 个 端口 由 NetBIOS 
使 用 。 只 要 往 该 端口 发 送 1 字 节 TCP OOB 数据 ， 就 可 以 使 Windows 系统 出 现 “蓝屏 ” 
错误 ， 并 且 网 络 功能 完全 瘫痪 。 除 非 重 新 启动 ， 否 则 不 能 再 用 。 

带 外 数据 (Out of Band，OOB ) 是 指 TCP 连接 中 发 送 的 一 种 特殊 数据 ， 它 的 优先 级 
高 于 一 般 的 数据 。 带 外 数据 在 报头 中 设置 了 URG 标志 , 可 以 不 按照 通常 的 次 序 进 入 TCP 
缓冲 区 ， 而 是 进入 另外 一 个 缓冲 区 ， 可 立即 被 进程 读 取 ; 或 者 可 以 根据 进程 的 设置 ， 直 
接 用 SIGURG 信号 通知 进程 有 带 外 数据 到 来 。 

4) Land 攻击 
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Land 也 是 一 个 十 分 有 效 的 攻击 工具 , 它 对 当前 流行 的 大 部 分 操作 系统 及 一 部 分 路 由 
器 都 具有 相当 的 攻击 能 力 。 攻 击 者 利用 目标 受害 系统 的 自身 资源 实现 攻击 意图 。 由 于 目 
标 受害 系统 具有 漏洞 和 通信 协议 的 弱点 ， 这 样 就 给 攻击 者 提供 了 攻击 的 机 会 。 攻 击 者 将 
一 个 包 的 源 地 址 和 目的 地 址 都 设置 为 目标 主机 的 地 址 , 然后 将 该 包 通 过 IP 欺骗 的 方式 发 
送 给 被 攻击 主机 ， 这 种 包 可 以 造成 被 攻击 主机 因 试 图 与 自己 建立 连接 而 陷入 死 循环 ， 从 
而 很 大 程度 地 降低 了 系统 性 能 。 

在 Land 攻击 中 ，SYN 包 中 的 源 地 址 和 目标 地 址 都 被 设置 成 某 一 个 服务 器 地 址 ， 这 
时 将 导致 接受 服务 器 向 它 自己 的 地 址 发 送 SYN 十 ACK 消息 ， 结 果 这 个 地 址 又 发 回 ACK 
消息 并 创建 一 个 空 连接 ， 每 一 个 这 样 的 连接 都 将 保留 直到 超时 。 对 Land 攻击 反应 不 同 ， 
许多 UNIX 实现 将 崩溃 ， 而 Windows 会 变 得 极其 缓慢 。 

对 于 这 些 利用 TCP/IP 协议 实现 中 的 处 理 程 序 错误 实施 的 攻击 ， 最 有 效 最 直接 的 防 
御 方 法 是 尽早 发 现 潜在 的 错误 并 及 时 修正 。 从 长 远 角度 考虑 ， 在 编制 软件 的 时 候 应 更 多 
地 考虑 安全 问题 ， 提 高 代码 质量 ， 减 少 安全 漏洞 。 


4.2.5 欺骗 攻击 与 防御 


1. ARP 欺骗 

1) ARP 欺骗 原理 

ARP 原理 : 某 机 器 A 要 向 主机 C 发 送 报 文 ， 会 查询 本 地 的 ARP 缓存 表 ， 找 到 C 的 
IP 地 址 对 应 的 MAC 地 址 后 ， 就 会 进行 数据 传输 。 如 果 未 找到 ， 则 广播 一 个 ARP 请 求 报 
文 (携带 主机 A 的 卫 地 址 Ia 一 一 物理 地 址 AA:AA:AA:AA), 请 求 PP 地 址 为 Ic 的 主机 C 
回答 物理 地 址 Pc。 网 上 所 有 主机 包括 C 都 收 到 ARP 请 求 , 但 只 有 主机 C 识别 自己 的 卫 
地 址 , 于 是 向 A 主机 发 回 一 个 ARP 响应 报 文 。 其 中 就 包含 有 C 的 MAC 地 址 CC:CC:CC: 
CC，A 接收 到 C 的 应 答 后 ， 就 会 更 新 本 地 的 ARP 缓存 。 接 着 使 用 这 个 MAC 地 址 发 送 
数据 (由 网 卡 附 加 MAC 地 址 )。 因 此 ， 本 地 高 速 缓存 的 这 个 ARP 表 是 本 地 网 络 流通 的 
基础 ， 而 且 这 个 缓存 是 动态 的 。 

ARP 协议 并 不 只 在 发 送 了 ARP 请 求 才 接收 ARP 应 答 。 当 计算 机 接收 到 ARP 应 答 
数据 包 的 时 候 ， 就 会 对 本 地 的 ARP 缓存 进行 更 新 ， 将 应 答 中 的 卫 和 MAC 地 址 存储 在 
ARP 缓存 中 。 因 此 ， 局 域 网 中 的 机 器 B 首先 攻击 C 使 C 瘫痪 ,然后 向 A 发 送 一 个 自己 
伪造 的 ARP 应 答 , 而 如 果 这 个 应 答 是 B 冒充 C 伪造 来 的 , 即 瑟 地 址 为 C 的 卫 , 而 MAC 
地 址 是 B 的 ， 则 当 A 接收 到 B 伪造 的 ARP 应 答 后， 就 会 更 新 本 地 的 ARP 缓存 ， 这 样 在 
A 看 来 C 的 四 地 址 没有 变 , 而 它 的 MAC 地址 已 经 变 成 B 的 了 。 由 于 局 域 网 的 网 络 流通 
不 是 根据 卫 地 址 进行 ， 而 是 按照 MAC 地 址 进行 传输 。 如 此 就 造成 A 传送 给 C 的 数据 
实际 上 是 传送 到 B。 这 就 是 一 个 简单 的 ARP 欺骗 ， 如 图 4-8 所 示 。 

2) ARP 欺骗 的 防范 措施 

(1) 在 winxp 下 输入 命令 arp-s gate-way-ip gate-way-mac 固化 arp 表 , 阻止 arp 欺骗 。 
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(2) 使 用 ARP 服务 器 。 通过 该 服务 器 查找 自己 的 ARP 转换 表 来 响应 其 他 机 器 的 ARP 
广播 。 确保 这 台 ARP 服务 器 不 被 黑 。 


C 
MAC : CC:CC:CC:CC 


时 
攻击 , 使 C | A 
1 ARP 报 文 


B 
MAC : BB:BB:BB:BB 


C 的 MAC 地 址 为 
BB:BB:BB:BB 


图 4-8 ARP 欺骗 


(3) 采用 双向 绑 定 的 方法 解决 并 且 防 止 ARP 欺骗 。 

(4) ARP 防护 软件 一 一 ARP Guard。 通 过 系统 底层 核心 驱动 ， 无 需 安装 其 他 任何 第 
三 方 软件 (如 WinPcap)， 以 服务 及 进程 并 存 的 形式 随 系 统 启 动 并 运行 ， 不 占用 计算 机 系 
统 资源 ,无 需 对 计算 机 进行 IP 地址 及 MAC 地 址 绑 定 , 从 而 避免 了 大 量 且 无 效 的 工作 量 。 
也 不 用 担心 计算 机 会 在 重启 后 新 建 ARP 缓存 列表 , 因为 此 软件 是 以 服务 与 进程 相 结合 
形式 存在 于 计算 机 中 , 当 计 算 机 重启 后 软件 的 防护 功能 也 会 随 操作 系统 自动 启动 并 工作 。 

2. DNS 欺骗 

DNS 欺骗 是 一 种 比较 常见 的 攻击 手段 。 一 个 著名 的 利用 DNS 欺骗 进行 攻击 的 案例 ， 
是 全 球 著 名 网 络 安全 销售 商 RSA Security 的 网 站 所 遭 到 的 攻击 。 其 实 RSA Security 网 站 
的 主机 并 没有 被 入 侵 ， 而 是 RSA 的 域名 被 黑客 动 持 ， 当 用 户 连 上 RSA Security 时 , 发 现 
主页 被 改 成 了 其 他 的 内 容 。 

1) DNS 欺骗 的 原理 

DNS 欺骗 首先 是 冒充 域名 服务 器 ， 然 后 把 查询 的 了 P 地 址 设 为 攻击 者 的 全 地址 ， 这 
样 ， 用 户 上 网 就 只 能 看 到 攻击 者 的 主页 ， 而 不 是 用 户 想 要 取得 的 网 站 的 主页 了 ， 这 就 是 
DNS 欺骗 的 基本 原理 。DNS 欺骗 其 实 并 不 是 真 的 “ 黑 掉 ”了 对 方 的 网 站 ， 而 是 冒名 顶 
替 、 招 摇 撞 骗 罢 了 。 

2) DNS 欺骗 的 实现 过 程 

如 图 4-9 所 示 , www.xxx.com 的 全 地 址 为 202.109.2.2, 如果 www.angel.com 向 xxx.com 
的 子 域 DNS 服务 器 查询 www.xxx.com 的 IP 地 址 时 ，www.heike.com 冒充 DNS 向 
www.angel.com 回复 www.xxx.com 的 人 P 地 址 为 200.1.1.1， 这 时 www.angel.com 就 会 把 
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200.1.1.1 当 www.xxx.com 的 地 址 了 。 当 www.angel.com 连 www.xxx.com 时 ， 就 会 转向 那 
个 虚假 的 他 地 址 了 ， 这 样 对 www.xxx.com 来 说 ， 就 算是 给 黑 掉 了 。 因 为 别人 根本 连接 不 
上 他 的 域名 。 


DNS 服务 器 


ee DNS 查询 


WWW.XXX.Ccom 


IP : 202.109.2.2 [| IPis 200.1.1.1 和 


www.heike.com 
IP: 200.1.1.1 www.angel.com 


WWW.XXX.Com 


IP:200.1.1.1 


图 4-9 DNS 欺骗 


3) DNS 欺骗 的 检测 

根据 检测 手段 的 不 同 , 将 其 分 为 被 动 监听 检测 、 虚 假 报 文 探测 和 交叉 检查 查询 三 种 。 

(1) 被 动 监听 检测 。 该 检测 手段 是 通过 旁 路 监听 的 方式 ， 捕 获 所 有 DNS 请 求 和 应 
答 数 据 包 ， 并 为 其 建立 一 个 请 求 应 答 映射 表 。 如 果 在 一 定 的 时 间 间 隔 内 ， 一 个 请 求 对 应 
两 个 或 两 个 以 上 结果 不 同 的 应 答 包 ， 则 怀疑 受到 了 DNS 欺骗 攻击 ， 因 为 DNS 服务 器 不 
会 给 出 多 个 结果 不 同 的 应 答 包 ， 即 使 目标 域名 对 应 多 个 卫 地址 ，DNS 服务 器 也 会 在 一 
个 DNS 应 答 包 中 返回 ， 只 是 有 多 个 应 答 域 answer section) 而 已 。 

(2) 虚假 报 文 探测 。 该 检测 手段 采用 主动 发 送 探测 包 的 手段 来 检测 网 络 内 是 否 存在 
DNS 欺骗 攻击 者 。 这 种 探测 手段 基于 一 个 简单 的 假设 : 攻击 者 为 了 尽快 地 发 出 欺骗 包 ， 
不 会 对 域名 服务 器 他 的 有 效 性 进行 验证 。 这 样 , 如 果 向 一 个 非 DNS 服务 器 发 送 请 求 包 ， 
正常 来 说 不 会 收 到 任何 应 答 ， 但 是 由 于 攻击 者 不 会 验证 目标 卫 是 否 是 合法 DNS 服务 
器 ， 它 会 继续 实施 欺骗 攻击 ， 因 此 如 果 收 到 了 应 答 包 ， 则 说 明 受 到 了 攻击 。 

(3) 交叉 检查 查询 。 所 谓 交叉 检查 ， 即 在 客户 端 收 到 DNS 应 答 包 之 后 ， 向 DNS 服 
务 器 反 向 查询 应 答 包 中 返回 的 卫 地 址 所 对 应 的 DNS 名 字 , 如 果 二 者 一 致 说 明 没有 受到 
攻击 ， 否 则 说 明 被 欺骗 。 

3. IP 欺骗 

1) 人 P 欺骗 的 原理 

通过 编程 的 方法 可 以 随意 改变 发 出 的 包 的 人 P 地 址 ， 但 工作 在 传输 层 的 TCP 协议 是 
一 种 相对 可 靠 的 协议 , 不 会 让 黑客 轻易 得 从。 由 于 TCP 是 面向 连接 的 协议 ， 所 以 在 双方 
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正式 传输 数据 之 前 ， 需 要 用 “三 次 握手 ”来 建立 一 个 值得 信赖 的 连接 。 假 设 是 hosta 和 
hostb 两 台 主 机 进行 通信 , hostb 首先 发 送 带 有 SYN 标志 的 数据 段 通知 hosta 建立 TCP 连 
接 ，TCP 的 可 靠 性 就 是 由 数据 包 中 的 多 位 控制 字 来 提供 的 ， 其 中 最 重要 的 是 数据 序列 
SYN 和 数据 确认 标志 ACK。B 将 TCP 报头 中 的 SYN 设 为 自己 本 次 连接 中 的 初始 值 
CISN)。 

假如 想 冒 充 hostb 对 hosta 进行 攻击 ， 就 要 先 使 用 hostb 的 人 P 地 址 发 送 SYN 标志 给 
hosta， 但 是 当 hosta 收 到 后 ， 并 不 会 把 SYN+ACK 发 送 到 欺骗 者 的 主机 上 ， 而 是 发 送 到 
真正 的 hostb 上 去 ， 这 时 就 “ 露 陷 ” 了 ， 因 为 hostb 根本 没 发 送 SYN 请 求 。 所 以 如 果 要 
冒充 hostb， 首 先 要 让 hostb 失去 工作 能 力 。 也 就 是 所 谓 的 拒绝 服务 攻击 ， 让 hostb 瘫痪 。 

可 是 这 样 还 是 远 远 不 够 的 ， 最 困难 的 就 是 要 对 hosta 进行 攻击 ， 必 须知 道 hosta 使 用 
的 ISN。TCP 使 用 的 ISN 是 一 个 32 位 的 计数 器 ， 从 0 到 4 294 967 295。TCP 为 每 一 个 
连接 选择 一 个 初始 序列 号 ISN， 为 了 防止 因为 延迟 、 重 传 等 扰乱 三 次 握手 ，ISN 不 能 随 
便 选取 ， 不 同 的 系统 有 着 不 同 的 算法 。ISN 约 每 秒 增加 128 000， 如 果 有 连接 出 现 ， 每 次 
连接 将 把 计数 器 的 数值 增加 64 000。 很 显然 ， 这 使 得 用 于 表示 ISN 的 32 位 计数 器 在 没 
有 连接 的 情况 下 每 9.32 小 时 复位 一 次 。 之 所 以 这 样 ， 是 因为 它 有 利于 最 大 于 限度 地 减少 
“ 旧 有 ”连接 的 信息 干扰 当前 连接 的 机 会 。 如 果 初 始 序 例 号 是 随意 选择 的 ， 那 么 不 能 保证 
现 有 序 例 号 是 不 同 于 先前 的 。 假 设 有 这 样 一 种 情况 ， 在 一 个 路 由 回路 中 的 数据 包 最 终 跳 
出 循环 ， 回 到 了 “ 旧 有 ”的 连接 ， 显 然 这 会 对 现 有 连接 产生 干扰 。 

预测 出 攻击 目标 的 序列 号 非常 困难 ， 而 且 各 个 系统 也 不 相同 ， 在 Berkeley 系统 ， 最 
初 的 序列 号 变量 由 一 个 常数 每 秒 加 1 产生 , 等 加 到 这 个 常数 的 一 半 时 , 就 开始 一 次 连接 。 
这 样 ， 如 果 开 始 一 个 合法 连接 ， 并 观察 到 一 个 ISN 正在 使 用 ， 便 可 以 进行 预测 ， 而 且 这 
样 做 有 很 高 的 可 信 度 。 现 在 假设 黑客 已 经 使 用 某 种 方法 ， 能 预测 出 ISN。 在 这 种 情况 下 ， 
他 就 可 以 将 ACK 序号 送 给 hosta， 这 时 连接 就 建立 了 。 

2) 了 P 欺骗 的 防范 

虽然 他 欺骗 攻击 有 着 相当 难度 ,但 这 种 攻击 非常 广泛 ， 入 侵 往往 由 这 里 开始 。 预防 
这 种 攻击 可 以 删除 UNIX 中 所 有 的 /etc/hosts.equiv、$HOME/.rhosts 文件 ， 修 改 /etc/ine- 
td.conf 文件 ,使 得 RPC 机 制 无 法 应 用 。 另 外 ,还 可 以 通过 设置 防火 墙 过 滤 来 自 外 部 而 信 
源 地 址 却 是 内 部 人 P 的 报 文 。 


4.2.6 ”端口 扫描 


网 络 中 的 每 一 台 计 算 机 如 同一 座 城堡 ， 在 这 些 城堡 中 ， 有 的 对 外 完全 开放 ， 有 的 却 
是 紧 锁 城 门 。 在 网 络 技术 中 ， 把 这 些 城堡 的 城 门 称 之 为 计算 机 的 “端口 ”。 端口 扫描 是 入 
侵 者 搜集 信息 的 几 种 常用 手法 之 一 ， 也 正 是 这 一 过 程 最 容易 使 入 侵 者 暴露 自己 的 身份 和 
意图 。 一 般 来 说 ， 扫 描 端口 有 如 下 目的 。 

(1) 判断 目标 主机 上 开放 了 哪些 服务 。 
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(2) 判断 目标 主机 的 操作 系统 。 

如 果 入 侵 者 掌握 了 目标 主机 开放 了 哪些 服务 ， 运 行 何 种 操作 系统 ， 他 们 就 能 够 使 用 
相应 的 手段 实现 入 侵 。 

1. 端口 扫描 原理 

“端口 ”在 计算 机 网 络 领 域 中 是 个 非常 重要 的 概念 。 它 是 专门 为 计算 机 通信 而 设计 
的 ， 不 是 硬件 ， 不 同 于 计算 机 中 的 “ 插 槽 ”， 可 以 说 是 个 “ 软 插 槽 >。 如 果 有 需要 ， 一 台 
计算 机 中 可 以 有 上 万 个 端口 。 

端口 是 由 计算 机 的 通信 协议 TCP/IP 协议 定义 的 。 其 中 规定 ， 用 人 P 地 址 和 端口 作为 
套 接 字 ， 它 代表 TCP 连接 的 一 个 连接 端 ， 一 般 称 为 Socket。 具 体 来 说 ， 就 是 用 [IP: 端 
口 ] 来 定位 一 台 主 机 中 的 进程 。 可 以 做 这 样 的 比喻 , 端口 相当 于 两 台 计 算 机 进程 间 的 大 门 ， 
可 以 随便 定义 ， 其 目的 只 是 为 了 让 两 台 计 算 机 能 够 找到 对 方 的 进程 。 计 算 机 就 像 一 座 大 
楼 ， 这 个 大 楼 有 好 多 入 口 〈 端 口 )， 进 到 不 同 的 入 口中 就 可 以 找到 不 同 的 公司 〈 进 程 )。 
如 果 要 和 远程 主机 A 的 程序 通信 ， 那 么 只 要 把 数据 发 向 [A: 端口 ] 就 可 以 实现 通信 了 。 

端口 扫描 就 是 尝试 与 目标 主机 的 某 些 端口 建立 连接 ， 如 果 目 标 主 机 该 端口 有 回复 
〈 见 三 次 握手 中 的 第 二 次 )， 则 说 明 该 端口 开放 ， 即 为 “活动 端口 ”。 

2. 扫描 原理 分 类 

(1) 全 TCP 连接 。 这 种 扫描 方法 使 用 三 次 握手 ， 与 目标 计算 机 建立 标准 的 TCP 连 
接 。 需 要 说 明 的 是 ， 这 种 古老 的 扫描 方法 很 容易 被 目标 主机 记录 。 

(2) 半 打 开 式 扫描 (SYN 扫描 )。 在 这 种 扫描 技术 中 ， 扫 描 主机 自动 向 目标 计算 机 
的 指定 端口 发 送 SYN 数据 段 ， 表 示 发 送 建立 连接 请 求 。 

@ 如 果 目 标 计算 机 的 回应 TCP 报 文中 SYN=1，ACK=1， 则 说 明 该 端口 是 活动 的 ， 
接着 扫描 主机 传送 一 个 RST 给 目标 主机 拒绝 建立 TCP 连接 ， 从 而 导致 三 次 握手 过 程 的 
失败 。 

@ 如 果 目 标 计 算 机 的 回应 是 RST， 则 表示 该 端口 为 “ 死 端口 ” 这 种 情况 下 ， 扫 描 
主机 不 用 做 任何 回应 。 

由 于 扫描 过 程 中 全 连接 尚未 建立 ， 所 以 大 大 降低 了 被 目标 计算 机 记录 的 可 能 性 ， 并 
且 加 快 了 扫描 的 速度 。 

(3) FIN 扫描 。 在 前 面 介绍 过 的 TCP 报 文中 ， 有 一 个 字段 为 FIN，FIN 扫描 则 依靠 
发 送 FIN 来 判断 目标 计算 机 的 指定 端口 是 否 活 动 。 

发 送 一 个 FIN=1 的 TCP 报 文 到 一 个 关闭 的 端口 时 ， 该 报 文 会 被 丢掉 ， 并 返回 一 个 
RST 报 文 。 但 是 ， 如 果 当 FIN 报 文 到 一 个 活动 的 端口 时 ， 该 报 文 只 是 简单 的 丢掉 ， 不 会 
返回 任何 回应 。 

从 FIN 扫描 可 以 看 出 , 这 种 扫描 没有 涉及 任何 TCP 连接 部 分 , 因此 ,这 种 扫描 比 前 
两 种 都 安全 ， 可 以 称 之 为 秘密 扫描 。 

(4) 第 三 方 扫描 。 第 三 方 扫 描 又 称 “ 代 理 扫描 ”， 这 种 扫描 是 利用 第 三 方 主机 来 代 
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蔡 入 侵 者 进行 扫描 。 这 个 第 三 方 主机 一 般 是 入 侵 者 通过 入 侵 其 他 计算 机 而 得 到 的 , 该 “第 
三 方 ”主机 常 被 入 侵 者 称 之 为 “肉鸡 ”。 这 些 “ 肉 鸡 ” 一 般 为 安全 防御 系数 极 低 的 个 人 计 
算 机 。 


4.2.7 ”强化 TCP/IP 堆栈 以 抵御 拒绝 服务 攻击 


针对 TCP/IP 堆栈 的 攻击 方式 有 多 种 类 型 ， 下 面 分 别 介绍 攻击 原理 及 抵御 方法 。 

1. 同步 包 风 暴 (SYN Flooding) 

同步 包 风暴 是 当前 最 流行 的 DoS 与 DDoS 攻击 的 方式 之 一 ， 是 应 用 最 广泛 的 一 种 
DoS 攻击 方式 ， 它 的 原理 虽然 简单 ， 但 使 用 起 来 却 十 分 有 效 。 

问题 出 在 TCP 连接 的 三 次 握手 中 ， 假 设 一 个 用 户 向 服务 器 发 送 了 SYN 报 文 后 突然 
死机 或 掉 线 , 那么 服务 器 在 发 出 SYN 十 ACK 应 答 报 文 后 是 无 法 收 到 客户 端的 ACK 报 文 
的 (第 三 次 握手 无 法 完成 )， 这 种 情况 下 服务 器 端 一 般 会 重 试 ( 再 次 发 送 SYN 十 ACK 给 
客户 端 ) 并 等 待 一 段 时 间 后 丢弃 这 个 未 完成 的 连接 , 这 段 时 间 的 长 度 称 为 SYN Timeout， 
一 般 来 说 这 个 时 间 是 分 钟 的 数量 级 (大 约 为 30 秒 一 2 分 钟 )。 一 个 用 户 出 现 异常 导致 服 
务 器 的 一 个 线程 等 待 1 分 钟 并 不 是 什么 很 大 的 问题 ， 但 如 果 有 一 个 恶意 的 攻击 者 大 量 模 
拟 这 种 情况 ， 服 务 器 端 将 为 了 维护 一 个 非常 大 的 半 连 接 列表 而 消耗 非常 多 的 资源 一 一 数 
以 万 计 的 半 连 接 , 即使 是 简单 的 保存 并 遍历 也 会 消耗 非常 多 的 CPU 时 间 和 内 存 , 何况 还 
要 不 断 地 对 这 个 列表 中 的 IP 进行 SYN 十 ACK 的 重 试 。 实 际 上 ， 如 果 服 务 器 的 TCP/IP 
堆栈 不 够 强大 ， 最 后 的 结果 往往 是 堆栈 溢出 骨 演 。 即 使 服务 器 端的 系统 足够 强大 ， 服 务 
器 端 也 将 忙于 处 理 攻击 者 伪造 的 TCP 连接 请 求 而 无 暇 理 皮 客户 的 正常 请 求 ( 毕 竟 客 户 端 
的 正常 请 求 比率 非常 小 ), 此 时 从 正常 客户 的 角度 来 看 , 服务 器 失去 响应 , 这 种 情况 称 作 : 
服务 器 端 受 到 了 SYN Flooding 攻击 。 

如 图 4-10 所 示 ， 如 果 攻 击 者 盗用 的 是 某 台 可 达 主 机 义 的 人 地 址 ， 由 于 主机 义 没有 
向 主机 D 发 送 连接 请 求 ， 所 以 当 它 收 到 来 自 D 的 SYN 十 ACK 包 时 ， 会 向 D 发 送 RST 
包 ， 主 机 D 会 将 该 连接 重 置 。 因 此 ， 攻 击 者 通常 伪造 主机 D 不 可 达 的 IP 地 址 作为 源 地 
址 。 攻 击 者 只 要 发 送 较 少 的 来 源 地 址 经 过 伪装 而 且 无 法 通过 路 由 达到 的 SYN 连接 请 求 
至 目标 主机 提供 TCP 服务 的 端口 ， 将 目的 主机 的 TCP 缓存 队列 填 满 ， 就 可 以 实施 一 次 
成 功 的 攻击 。 实 际 情况 下 , 攻击 者 往往 会 持续 不 断 地 发 送 SYN 包 , 故 称 为 “SYN 洪水 ”。 

可 以 通过 修改 注册 表 防御 SYN Flooding 攻击 ， 修 改 键 值 位 于 注册 表 项 HKEY_ 
LOCAL MACHINE\SYSTEM\CurrentControlSet\Services 的 下 面 ， 如 表 4-3 所 示 。 


表 4-3 防御 SYN Flooding 所 需 修改 键 值 
值 名 称 
SynAttackProtect 


值 (REG_DWORD) 


入 


TcpMaxPortsExhausted 1 


续 表 
值 名 称 值 (REG DWORD) 
TcpMaxHalfOpen 500 
TcpMaxHalfOpenRetried 400 


TcpMaxConnectResponseRetransmissions 


TcpMaxDataRetransmissions 
EnablePMTUDiscovery 
KeepAliveTime 
NoNameReleaseOnDemand 


300 000 (5 分 钟 ) 
1 


攻击 者 A 目的 主机 D 


伪造 源 地 址 的 SYN 包 


| 


SYN+ACK 


图 4-10 目的 主机 D 遭受 SYN 洪水 攻击 

2. ICMP 攻击 

ICMP 协议 是 TCP/IP 协议 集中 的 一 个 子 协议 , 主要 用 于 在 主机 与 路 由 器 之 间 传 递 控 
制 信息 ， 包 括 报告 错误 、 交 换 受 限 控制 和 状态 信息 等 。 当 遇 到 人 P 数据 无 法 访问 目标 、IP 
路 由 器 无 法 按 当 前 的 传输 速率 转发 数据 包 等 情况 时 ， 会 自动 发 送 ICMP 消息 。 可 以 通过 
Ping 命令 发 送 ICMP 回应 请 求 消息 并 记录 收 到 ICMP 回应 回复 消息 ， 通 过 这 些 消 息 来 对 
网 络 或 主机 的 故障 提供 参考 依据 。 

ICMP 协议 本 身 的 特点 决定 了 它 非常 容易 被 用 于 攻击 网 络 上 的 路 由 器 和 主机 。 例如 ， 
前 面 提 到 的 Ping of Death 攻击 就 是 利用 操作 系统 规定 的 ICMP 数据 包 最 大 尺寸 不 超过 
64KB 这 一 规定 ， 达 到 使 TCP/IP 堆栈 崩溃 、 主 机 死机 的 效果 。 

可 以 通过 修改 注册 表 防 御 ICMP 攻击 ， 修 改 键 值 位 于 注册 表 项 HKLM\System\Curr- 
entControlSet\Services\AFD\Parameters 的 下 面 ， 如 表 4-4 所 示 。 


表 4-4 防御 ICMP 所 需 修改 键 值 


值 名 称 值 (REG_DWORD) 
EnableICMPRedirect 0 
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3. SNMP 攻击 

SNMP 是 TCP/IP 网 络 中 标准 的 管理 协议 ， 它 允许 网 络 中 的 各 种 设备 和 软件 ， 包 括 
交换 机 、 路 由 器 、 防 火 墙 ， 集 线 器 ， 甚 至 操作 系统 、 服 务 器 产品 和 部 件 等 ， 能 与 管理 软 
件 通信 ， 汇 报 其 当前 的 行为 和 状态 。 但 是 ，SNMP 还 能 被 用 于 控制 这 些 设 备 和 产品 ， 重 
定向 通信 流 ， 改 变通 信 数 据 包 的 优先 级 ， 甚 至 断 开 通信 连接 。 总 之 ， 入 侵 者 如 果 具 备 相 
应 能 力 ， 就 能 完全 接管 你 的 网 络 。 

可 以 通过 修改 注册 表 防 御 SNMP 攻击 ， 修 改 键 值 位 于 注册 表 项 HKLM\System\Cur- 
rentControlSet\Services\Tcpip\Parameters 的 下 面 ， 如 表 4-5 所 示 。 


表 4-5 防御 SNMP 所 需 修 改 键 值 
值 名 称 值 (REG_ DWORD) 
EnableDeadGWDetect 0 


4.2.8 ”系统 漏洞 扫描 


系统 漏洞 扫描 是 对 重要 计算 机 信息 系统 进行 检查 ， 发 现 其 中 可 能 被 黑客 利用 的 漏 
洞 。 系 统 漏洞 扫描 的 结果 是 对 系统 安全 性 能 的 一 个 评估 ， 指 出 了 哪些 攻击 是 可 能 的 ， 因 
此 ， 成 为 安全 方案 的 一 个 重要 组 成 部 分 。 目 前 ， 系 统 漏 洞 扫描 从 底层 技术 来 划分 ， 可 以 
分 为 基于 网 络 的 扫描 和 基于 主机 的 扫描 这 两 种 类 型 。 

1. 基于 网 络 的 漏洞 扫描 

基于 网 络 的 漏洞 扫描 器 ， 是 通过 网 络 来 扫描 远程 计算 机 中 的 漏洞 。 例 如 ， 利 用 低 版 
本 的 DNS Bind 漏洞 ， 攻 击 者 能 够 获取 root 权限 ， 侵 入 系统 或 者 攻击 者 能 够 在 远程 计算 
机 中 执行 恶意 代码 。 使 用 基于 网 络 的 漏洞 扫描 工具 , 能够 监测 到 这 些 低 版 本 的 DNS Bind 
是 否 在 运行 。 一 般 来 说 ， 基 于 网 络 的 漏洞 扫描 工具 可 以 看 作 一 种 漏洞 信息 收集 工具 ， 根 
据 不 同 漏洞 的 特性 ， 构 造 网 络 数据 包 ， 发 给 网 络 中 的 一 个 或 多 个 目标 服务 器 ， 以 判断 某 
个 特定 的 漏洞 是 否 存在 。 基 于 网 络 的 漏洞 扫描 器 ， 一 般 由 以 下 几 个 方面 组 成 。 

(1) 漏洞 数据 库 模块 。 漏 洞 数 据 库 包 含 了 各 种 操作 系统 的 各 种 漏洞 信息 ， 以 及 如 何 
检测 漏洞 的 指令 。 

(2) 用 户 配 置 控制 台 模块 。 用 户 配置 控制 台 与 安全 管理 员 进 行 交 互 ， 用 来 设置 要 扫 
描 的 目标 系统 ， 以 及 扫描 哪些 漏洞 。 

(3) 扫描 引擎 模块 。 扫 描 引擎 是 扫描 器 的 主要 部 件 。 根 据 用 户 配置 控制 台 部 分 的 相 
关 设 置 ， 扫 描 引擎 组 装 好 相应 的 数据 包 ， 发 送 到 目标 系统 ， 将 接收 到 的 目标 系统 的 应 答 
数据 包 与 漏洞 数据 库 中 的 漏洞 特征 进行 比较 ， 来 判断 所 选择 的 漏洞 是 否 存在 。 

(4) 当前 活动 的 扫描 知识 库 模 块 。 通 过 查看 内 存 中 的 配置 信息 ， 该 模块 监控 当前 活 
动 的 扫描 ， 将 要 扫描 的 漏洞 的 相关 信息 提供 给 扫描 引擎 。 

(5) 结果 存储 器 和 报告 生成 工具 。 报 告 生 成 工具 ， 利 用 当前 活动 扫描 知识 库 中 存储 
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的 扫描 结果 ， 生 成 扫描 报告 。 

基于 网 络 的 漏洞 扫描 器 有 很 多 优点 。 

(1) 基于 网 络 的 漏洞 扫描 器 的 价格 相对 来 说 比较 便宜 。 

(2) 基于 网 络 的 漏洞 扫描 器 在 操作 过 程 中 ， 不 需要 涉及 到 目标 系统 的 管理 员 。 

(3) 基于 网 络 的 漏洞 扫描 器 ， 在 检测 过 程 中 ， 不 需要 在 目标 系统 上 安装 任何 东西 。 

(4) 维护 简便 。 当 企业 的 网 络 发 生 了 变化 时 ， 只 要 某 个 节点 能 够 扫描 网 络 中 的 全 部 
目标 系统 ， 则 基于 网 络 的 漏洞 扫描 器 不 需要 进行 调整 。 

2. 基于 主机 的 漏洞 扫描 

基于 主机 的 漏洞 扫描 器 ， 扫 描 目 标 系统 的 漏洞 的 原理 ， 与 基于 网 络 的 漏洞 扫描 器 的 
原理 类 似 ， 但 是 ， 两 者 的 体系 结构 不 一 样 。 基 于 主机 的 漏洞 扫描 器 通常 在 目标 系统 上 安 
装 了 一 个 代理 (Agent) 或 者 是 服务 〈Services)， 以 便 能 够 访问 所 有 的 文件 与 进程 ， 这 也 
使 得 基于 主机 的 漏洞 扫描 器 能 够 扫描 更 多 的 漏洞 。 

基于 主机 的 漏洞 扫描 优点 如 下 。 

(1) 扫描 的 漏洞 数量 多 。 

(2) 集中 化 管理 。 基于 主机 的 漏洞 扫描 器 通常 都 有 个 集中 的 服务 器 作为 扫描 服务 器 。 
所 有 扫描 的 指令 均 从 服务 器 进行 控制 ， 这 一 点 与 基于 网 络 的 扫描 器 类 似 。 服 务 器 下 载 到 
最 新 的 代理 程序 后 ， 再 分 发 给 各 个 代理 。 这 种 集中 化 管理 模式 ， 使 得 基于 主机 的 漏洞 扫 
描 器 的 部 署 能 够 快速 实现 。 

(3) 网 络 流量 负载 小 。 由 于 ESM 管理 器 与 ESM 代理 之 间 只 有 通信 的 数据 包 ， 漏 洞 
扫描 部 分 都 由 ESM 代理 单独 完成 ， 这 就 大 大 减少 了 网 络 的 流量 负载 。 当 扫描 结束 后 ， 
ESM 代理 再 次 与 ESM 管理 器 进行 通信 ， 将 扫描 结果 传送 给 ESM 管理 器 。 


4.3 防火墙 应 用 配置 


4.3.1 防火墙 技术 概述 


1. 防火 墙 的 定义 

防火 墙 的 本 义 是 指 古 代 构 筑 和 使 用 木 制 结构 房屋 的 时 候 ， 为 防止 火灾 的 发 生 和 营 
延 , 人 们 将 坚固 的 石 块 堆砌 在 房屋 周围 作为 屏障 , 这 种 防护 构筑 物 就 被 称 之 为 “防火 墙 ”。 
其 实 与 防火 墙 一 起 起 作用 的 就 是 “ 门 ”。 如 果 没 有 门 ， 各 房间 的 人 如 何 沟 通 昵 ， 这 些 房间 
的 人 又 如 何 进 出 呢 ? 当 火 灾 发 生 时 ， 这 些 人 又 如 何 逃 离 现场 呢 ? 这 个 门 就 相当 于 计算 机 
网 络 防火 墙 中 的 “安全 策略 ”。 

防火 墙 是 设置 在 两 个 或 多 个 网 络 之 间 的 安全 阻隔 ， 用 于 保证 本 地 网 络 资源 的 安全 ， 
通常 是 包含 软件 部 分 和 硬件 部 分 的 一 个 系统 或 多 个 系统 的 组 合 。 内 部 网 络 被 认为 是 安全 
和 可 信赖 的 ， 而 外 部 网 络 (通常 是 Intemet) 被 认为 是 不 安全 和 不 可 信赖 的 。 防 火 墙 的 作 
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用 是 通过 人 允许、 拒绝 或 重新 定向 经 过 防火 墙 的 数据 流 ， 防 止 不 希望 的 、 未 经 授权 的 通信 
进出 被 保护 的 内 部 网 络 ， 并 对 进 、 出 内 部 网 络 的 服务 和 访问 进行 审计 和 控制 ， 本 身 具 有 
较 强 的 抗 攻 击 能 力 ， 并 且 只 有 授权 的 管理 员 方 可 对 防火 墙 进行 管理 ， 通 过 边界 控制 来 强 
化 内 部 网 络 的 安全 。 防 火 墙 在 网 络 中 的 位 置 通常 如 图 4-11 所 示 。 


图 4-11 防火 墙 在 网 络 中 的 位 置 


如 果 没 有 防火 墙 ， 则 整个 内 部 网 络 的 安全 性 完全 依赖 于 每 个 主机 ， 因 此 ， 所 有 的 主 
机 都 必须 达到 一 致 的 高 度 安全 水 平 。 也 就 是 说 ， 网 络 的 安全 水 平 是 由 最 低 的 那个 安全 水 
平 的 主机 决定 的 ， 这 就 是 所 谓 的 “ 木 桶 原理 ”， 木 桶 能 装 多 少 水 由 最 低 的 地 方 决定 。 网 络 
越 大 ， 对 主机 进行 管理 使 它们 达到 统一 的 安全 级 别 水 平 就 越 不 容易 。 

防火 墙 隔离 了 内 部 网 络 和 外 部 网 络 ， 它 被 设计 为 只 运行 专用 的 访问 控制 软件 的 设 
备 ， 而 没有 其 他 的 服务 ， 因 此 也 就 意味 着 相对 少 一 些 缺陷 和 安全 漏洞 。 此 外 ， 防 火 墙 也 
改进 了 登录 和 监测 功能 ， 从 而 可 以 进行 专用 的 管理 。 如 果 采 用 了 防火 墙 ， 内 部 网 络 中 的 
主机 将 不 再 直接 暴露 给 来 自 Intemet 的 攻击 。 因 此 ， 对 整个 内 部 网 络 的 主机 的 安全 管理 
就 变 成 了 防火 墙 的 安全 管理 ， 这 样 就 使 安全 管理 变 得 更 为 方便 ， 易 于 控制 ， 也 会 使 内 部 
网 络 更 加 安全 。 

防火 墙 一般 安 放 在 被 保护 网 络 的 边界 ， 必 须 做 到 以 下 几 点 ， 才 能 使 防火 墙 起 到 安全 
防护 的 作用 。 

(1) 所 有 进出 被 保护 网 络 的 通信 都 必须 通过 防火 墙 。 

(2) 所 有 通过 防火 墙 的 通信 必须 经 过 安全 策略 的 过 滤 或 者 防火 墙 的 授权 。 

(3) 防火 墙 本 身 是 不 可 侵入 的 。 

总 之 ， 防 火 墙 是 在 被 保护 网 络 和 非 信任 网 络 之 间 进 行 访问 控制 的 一 个 或 一 组 访问 控 
制 部 件 。 它 是 一 种 逻辑 隔离 部 件 ， 而 不 是 物理 隔离 部 件 ， 它 所 遵循 的 原则 是 : 在 保证 网 
络 畅通 的 情况 下 ， 尽 可 能 地 保证 内 部 网 络 的 安全 。 防 火 墙 是 在 已 经 制定 好 的 安全 策略 下 
进行 访问 控制 ， 所 以 一 般 情 况 下 它 是 一 种 静态 安全 部 件 。 但 随 着 防火 墙 技术 的 发 展 ， 防 
火 墙 或 通过 与 IDS 〈 入 侵 检 测 系统 ) 进行 联动 ， 或 自身 集成 IDS 功能 ， 将 能 够 根据 实际 
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的 情况 进行 动态 的 策略 调整 。 

2. 防火 墙 的 分 类 及 技术 

了 解 什么 是 防火 墙 之 后 ， 可 以 对 当前 市 场 上 的 防火 墙 进行 一 下 分 类 。 目 前 防火 墙 产 
品 非常 多 ， 划 分 的 标准 也 比较 纷 杂 ， 主 要 是 以 防火 墙 软 硬 件 形式 和 防火 墙 采用 的 技术 为 
参照 物 进 行 划分 。 

1) 按 防火 墙 的 软 硬 件 形式 分 类 

如 果 按 防火 墙 的 软 、 硬 件 形式 进行 分 类 ， 防 火 墙 可 以 分 为 硬件 防火 墙 、 软 件 防火 墙 
和 嵌入 式 防火 墙 。 

(1) 基于 硬件 的 防火 墙 。 是 一 个 已 经 预 装 有 软件 的 硬件 设备 。 基 于 硬件 的 防火 墙 又 
可 分 为 家 庭 办 公 型 和 企业 型 两 种 款式 。 防 火 墙 在 外 观 上 与 平常 我 们 所 见 到 的 集线器 和 交 
换 机 类 似 ， 只 是 只 有 少数 几 个 接口 ， 分 别 用 于 连接 内 、 外 部 网 络 ， 那 是 由 防火 墙 的 基本 
作用 决定 的 。 

(2) 基于 软件 的 防火 墙 。 是 能 够 安装 在 操作 系统 和 硬件 平台 上 的 防火 墙 软件 包 。 如 
果 用 户 的 服务 器 装 有 企业 级 操作 系统 ， 购 买 基 于 软件 的 防火 墙 则 是 合理 的 选择 。 如 果 用 
户 是 一 家 小 企业 ， 并 且 想 把 防火 墙 与 应 用 服务 器 〈 如 网 站 服务 器 ) 结合 起 来 ， 配 备 一 个 
基于 软件 的 防火 墙 不 失 为 明智 之 举 。 

国内 外 还 有 许多 网 络 安全 软件 厂商 开发 出 面向 家 庭 用 户 的 基于 纯 软 件 的 防火 墙 ， 俗 
称 “ 个 人 防火 墙 "。 之 所 以 说 它 是 “个 人 防火 墙 ”"， 是 因为 它 是 安装 在 主机 中 ， 只 对 一 台 
主机 进行 防护 ， 而 不 是 保护 整个 网 络 。 

(3) 嵌入 式 防火 墙 。 就 是 内 嵌 于 路 由 器 或 交换 机 的 防火 墙 。 媒 入 式 防火 墙 是 某 些 路 
由 器 的 标准 配置 。 用 户 也 可 以 购买 防火 墙 模块 ， 安 装 到 已 有 的 路 由 器 或 交换 机 中 。 媒 入 
式 防火 墙 也 被 称 为 检查 点 防火 墙 。 由 于 因特网 使 用 的 协议 多 种 多 样 ， 所 以 不 是 所 有 的 网 
络 服务 都 能 得 到 嵌入 式 防火 墙 的 有 效 处 理 。 嵌入 式 防火 墙 工 作 于 耳 层 , 无 法 保护 网 络 免 
受 病毒 、 蠕 虫 和 特洛伊 木马 程序 等 来 自 应 用 层 的 威胁 。 就 本 质 而 言 ， 嵌 入 式 防火 墙 常 常 
是 无 监控 状态 的 ， 它 在 传递 信息 包 时 并 不 考虑 以 前 的 连接 状态 。 

2) 按 防火 墙 采用 的 技术 分 类 

防火 墙 技术 可 根据 防范 的 方式 和 侧重 点 的 不 同 分 为 包 过 滤 型 防火 墙 、 应 用 层 网 关 、 
代理 服务 型 防火 墙 三 种 类 型 。 

(1) 包 过 滤 〈packet filtering) 型 防火 墙 。 工 作 在 OSI 网 络 参考 模型 的 网 络 层 和 传输 
层 ， 它 根据 数据 包头 源 地 址 、 目 的 地 址 、 端 口号 和 协议 类 型 等 标志 确定 是 否 人 允许 数 据 包 
通过 。 只 有 满足 过 滤 条 件 的 数据 包 才 被 转发 到 相应 的 目的 地 ， 其 余数 据 包 则 被 从 数据 流 
中 丢弃 。 

包 过 滤 方 式 是 一 种 通用 、 廉 价 和 有 效 的 安全 手段 。 之 所 以 通用 ， 是 因为 它 不 是 针对 
各 个 具体 的 网 络 服务 采取 特殊 的 处 理 方式 ， 适 用 于 所 有 网 络 服务 ; 之 所 以 廉价 ， 是 因为 
大 多 数 路 由 器 都 提供 数据 包 过 滤 功 能 ， 所 以 这 类 防火 墙 多 数 是 由 路 由 器 集成 的 ， 之 所 以 
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有 效 ， 是 因为 它 能 在 很 大 程度 上 满足 绝 大 多 数 企 业 安 全 要 求 。 

包 过 滤 方 式 的 优点 是 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ， 因 为 它 工作 在 网 络 层 和 
传输 层 ， 与 应 用 层 无 关 。 但 其 弱点 也 是 明显 的 :过滤 判别 的 依据 只 是 网 络 层 和 传输 层 的 
有 限 信 息 ， 因 而 各 种 安全 要 求 不 可 能 充分 满足 ， 在 许多 过 滤器 中 ， 过 滤 规 则 的 数目 是 有 
限制 的 ， 且 随 着 规则 数目 的 增加 ， 性 能 会 受到 很 大 地 影响 ， 由 于 缺少 上 下 文 关联 信息 ， 
不 能 有 效 地 过 滤 如 UDP、RPC 一 类 的 协议 。 另外 , 大 多 数 过 滤器 中 缺少 审计 和 报警 机 制 ， 
它 只 能 依据 包头 信息 ， 而 不 能 对 用 户 身 份 进行 验证 ， 很 容易 受到 “地 址 欺骗 型 ”攻击 。 
包 过 滤 型 防火 墙 对 安全 管理 人 员 素质 要 求 高 ， 建 立 安全 规则 时 ， 必 须 对 协议 本 身 及 其 在 
不 同 应 用 程序 中 的 作用 有 较 深入 的 理解 。 

(2) 应 用 层 网 关 防 火 墙 。 应 用 层 网 关 (Application Level Gateways) 防火 墙 是 在 
OSIRM 应 用 层 上 建立 协议 过 滤 和 转发 功能 。 它 针对 特定 的 网 络 应 用 服务 协议 使 用 指定 
的 数据 过 滤 罗 辑 ， 并 在 过 滤 的 同时 ， 对 数据 包 进 行 必要 的 分 析 、 登 记 和 统计 ， 并 形成 报 
告 提 供给 网 络 安全 管理 员 作 进一步 分 析 。 

数据 包 过 滤 和 应 用 层 网 关 防 火 墙 有 一 个 共同 的 特点 ， 就 是 它们 仅仅 依靠 特定 的 逻辑 
判定 是 否 允 许 数据 包 通 过 。 一 旦 满足 逻辑 ， 则 防火 墙 内 外 的 计算 机 系统 建立 直接 联系 ， 
防火 墙 外 部 的 用 户 便 有 可 能 直接 了 解 防火 墙 内 部 的 网 络 结构 和 运行 状态 ， 这 有 利于 实施 
非法 访问 和 攻击 。 

(3) 代理 服务 型 防火 墙 。 代 理 服务 型 (Proxy Service) 防火 墙 是 针对 数据 包 过 滤 和 
应 用 层 网 关 技 术 存 在 的 缺点 而 引入 的 防火 墙 技术 ， 其 特点 是 将 所 有 跨越 防火 墙 的 网 络 通 
信 链 路 分 为 两 段 。 防 火 墙 内 外 计算 机 系统 间 不 能 直接 连接 ， 都 要 通过 代理 服务 型 防火 墙 
中 转 连接 。 外 部 计算 机 的 网 络 链 路 只 能 到 达 代理 服务 型 防火 墙 ， 从 而 起 到 了 隔离 防火 墙 
内 外 计算 机 系统 的 作用 。 有 些 网 络 安全 专业 人 员 将 代理 服务 型 防火 墙 归于 应 用 层 网 关 
一 类 。 

代理 服务 型 防火 墙 最 突出 的 优点 就 是 安全 。 由 于 它 工作 于 最 高 层 ， 所 以 可 以 对 网 络 
中 任何 一 层 数据 通信 进行 筛选 保护 ， 而 不 是 像 包 过 滤 那 样 ， 只 是 对 网 络 层 的 数据 进行 

另外 ， 代 理 服务 型 防火 墙 采取 的 是 一 种 代理 机 制 ， 它 可 以 为 每 一 种 应 用 服务 建立 一 
个 专门 的 代理 , 所 以 内 外 部 网 络 之 间 的 通信 不 是 直接 的 , 而 都 需 先 经 过 代理 服务 器 审核 ， 
通过 后 再 由 代理 服务 器 代为 连接 , 根本 没有 给 内 、 外 部 网 络 计算 机 任何 直接 会 话 的 机 会 ， 
从 而 避免 了 入 侵 者 使 用 数据 驱动 类 型 的 攻击 方式 入 侵 内 部 网 。 包 过 滤 类 型 的 防火 墙 则 很 
难 彻底 避免 这 一 漏洞 。 

有 优点 就 有 缺点 ， 任 何事 物 都 一 样 。 代 理 服务 型 防火 墙 的 最 大 缺点 就 是 速度 相对 比 
较 慢 ， 当 用 户 对 内 外 部 网 络 网 关 的 吞吐 量 要 求 比较 高 时 ， 代 理 服务 型 防火 墙 就 会 成 为 内 
外 部 网 络 之 间 的 瓶颈 。 由 于 防火 墙 需要 为 不 同 的 网 络 服务 建立 专门 的 代理 服务 ， 在 自己 
的 代理 程序 为 内 、 外 部 网 络 用 户 建立 连接 时 需要 时 间 ， 所 以 给 系统 性 能 带 来 了 一 些 负面 
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影响 ， 但 通常 不 会 太 明显 。 
4.3.2 防火墙 体 系 结构 


防火 墙 的 经 典 体系 结构 主要 有 三 种 形式 : 双重 宿主 主机 体系 结构 、 被 屏蔽 主机 体系 
结构 和 被 屏蔽 子 网 体系 结构 。 在 介绍 防火 墙 的 体系 结构 之 前 ， 先 介绍 防火 墙 体系 结构 中 
几 个 常见 的 术语 。 

(1) 堡垒 主机 : 是 指 可 能 直接 面 对 外 部 用 户 攻击 的 主机 系统 , 在 防火 墙 体系 结构 中 
特 指 那些 处 于 内 部 网 络 的 边缘 ， 并 且 暴 露 于 外 部 网 络 用 户 面前 的 主机 系统 。 一 般 来 说 ， 
堡垒 主机 上 提供 的 服务 越 少 越 好 ， 因 为 每 增加 一 种 服务 就 增加 了 被 攻击 的 可 能 性 。 

(2) 双重 宿主 主机 : 是 指 通过 不 同 网 络 接口 连 入 多 个 网 络 的 主机 系统 ， 又 称 为 多 穴 
主机 系统 。 一 般 来 说 ， 双 重 宿主 主机 是 实现 多 个 网 络 之 间 互 连 的 关键 设备 ， 如 网 桥 是 在 
数据 链 路 层 实现 互 连 的 双重 宿主 主机 ， 路 由 器 是 在 网 络 层 实现 互 连 的 双重 宿主 主机 ， 应 
用 层 网 关 是 在 应 用 层 实现 互 连 。 

(3) 周边 网 络 : 是 指 在 内 部 网 络 、 外 部 网 络 之 间 增 加 的 一 个 网 络 ， 一 般 来 说 ， 对 外 
提供 服务 的 各 种 服务 器 都 可 以 放 在 这 个 网 络 里 。 周 边 网 络 也 被 称 为 非 武 装 区 域 
(Demilitarized Zone，DMZ)。 周 边 网 络 的 存在 ， 使 得 外 边 用 户 访问 服务 器 时 不 需要 进入 
内 部 网 络 ， 而 内 部 网 络 用 户 对 服务 器 维护 工作 导致 的 信息 传递 也 不 会 泄露 至 外 部 网 络 。 
同时 ， 周 边 网 络 与 外 部 网 络 或 内 部 网 络 之 间 存 在 着 数据 包 过 滤 ， 这 样 为 外 部 用 户 的 攻击 
设置 了 多 重 障碍 ， 确 保 了 内 部 网 络 的 安全 。 

1. 双重 宿主 主机 体系 结构 

防火 墙 的 双重 宿主 主机 体系 结构 是 指 以 一 台 双 重 宿主 主机 作为 防火 墙 系统 的 主体 ， 
执行 分 离 外 部 网 络 与 内 部 网 络 的 任务 。 一 个 典型 的 双重 宿主 主机 体系 结构 如 图 4-12 所 示 。 

在 基于 双重 宿主 主机 体系 结构 的 防火 墙 中 ， 带 有 内 部 网 络 和 外 部 网 络 接口 主机 系统 
构成 了 防火 墙 的 主体 ， 该 台 双 重 宿主 主机 具备 了 成 为 内 部 网 络 和 外 部 网 络 之 间 路 由 器 的 
条 件 ， 但 是 在 内 部 网 络 与 外 部 网 络 之 间 进 行 数据 包 转 发 的 进程 是 被 禁止 运行 的 。 为 了 达 
到 防火 墙 的 基本 效果 ， 在 双重 宿主 主机 体系 结构 中 ， 任 何 路 由 功能 是 禁止 的 ， 甚 至 数据 
包 过 滤 技 术 也 是 不 允许 在 双重 宿主 主机 上 实现 的 。 双 重 宿主 主机 唯一 可 以 采用 的 防火 墙 
技术 就 是 应 用 层 代 理 ， 内 部 网 络 用 户 可 以 通过 客户 端 代理 软件 以 代理 方式 访问 外 部 网 络 
资源 ， 或 者 直接 登录 至 双重 宿主 主机 成 为 一 个 用 户 ， 再 利用 该 主机 访问 外 部 资源 。 

双重 宿主 主机 体系 结构 防火 墙 的 优点 在 于 网 络 结构 比较 简单 ， 由 于 内 、 外 网 络 之 间 
没有 直接 的 数据 交互 而 较为 安全 ; 内 部 用 户 账号 的 存在 可 以 保证 对 外 部 资源 进行 有 效 控 
制 ;， 由 于 应 用 层 代理 机 制 的 采用 ， 可 以 方便 地 形成 应 用 层 的 数据 与 信息 过 滤 。 其 缺点 在 
于 ， 用 户 访问 外 部 资源 较为 复杂 ， 如 果 用 户 需 要 登录 到 主机 上 才能 访问 外 部 资源 ， 则 主 
机 的 资源 消耗 较 大 ;用户 机 制 存 在 安全 隐患 ， 并 且 内 部 用 户 无 法 借助 于 该 体系 结构 访问 
新 的 服务 或 者 特殊 服务 ;一 旦 外 部 用 户 入 侵 了 双重 宿主 主机 ， 则 导致 内 部 网 络 处 于 不 安 
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全 状态 。 


双 宿 主机 


人 MT ) 
Ses 


图 4-12 双重 宿主 主机 防火 墙 体系 结构 


2. 被 屏蔽 主机 体系 结构 

被 屏蔽 主机 体系 结构 是 指 通过 一 个 单独 的 路 由 器 和 内 部 网 络 上 的 堡垒 主机 共同 构 
成 防火 墙 ， 主 要 通过 数据 包 过 滤 实 现 内 部 、 外 部 网 络 的 隔离 和 对 内 网 的 保护 。 一 个 典型 
的 被 屏蔽 主机 体系 结构 如 图 4-13 所 示 。 

在 被 屏蔽 主机 体系 结构 中 ， 有 两 道 屏 障 ， 一 道 是 屏蔽 路 由 器 ， 另 一 道 是 堡垒 主机 。 

屏蔽 路 由 器 位 于 网 络 的 最 边缘 ， 负 责 与 外 网 实施 连接 ， 并 且 参 与 外 网 的 路 由 计算 。 
屏蔽 路 由 器 不 提供 任何 服务 ， 仅 提供 路 由 和 数据 包 过 滤 功 能 ， 因 此 屏蔽 路 由 器 本 身 较 为 
安全 ， 被 攻击 的 可 能 性 较 小 。 由 于 屏蔽 路 由 器 的 存在 ， 使 得 堡垒 主机 不 再 是 直接 与 外 网 
互 连 的 双重 宿主 主机 ， 增 加 了 系统 的 安全 性 。 

堡垒 主机 存放 在 内 部 网 络 中 ， 是 内 部 网 络 中 唯一 可 以 连接 到 外 部 网 络 的 主机 ， 也 是 
外 部 用 户 访问 内 部 网 络 资源 必须 经 过 的 主机 设备 。 在 经 典 的 被 屏蔽 主机 体系 结构 中 ， 堡 
爸 主 机 也 通过 数据 包 过 滤 功 能 实现 对 内 部 网 络 的 防护 ， 并 且 该 堡垒 主机 仅仅 允许 通过 特 
定 的 服务 连接 。 主 机 也 可 以 不 提供 数据 包 过 滤 功 能 ， 而 是 提供 代理 功能 ， 内 部 用 户 只 能 
通过 应 用 层 代理 访问 外 部 网 络 ， 而 堡 侄 主 机 就 成 为 外 部 用 户 唯 一 可 以 访问 的 内 部 主机 。 

被 屏蔽 主机 体系 结构 的 优点 如 下 。 

(1) 被 屏蔽 主机 体系 结构 比 双 重 宿主 主机 体系 结构 具有 更 高 的 安全 特性 。 由 于 屏蔽 
路 由 器 在 堡垒 主机 之 外 提供 数据 包 过 滤 功 能 ,使 得 堡 侄 主机 要 比 双重 宿主 主机 相对 安全 
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存在 漏洞 的 可 能 性 较 小 ， 被 攻击 的 可 能 性 也 较 小 。 同 时 ， 堡 又 主机 的 数据 包 过 滤 功 能 限 
制 外 部 用 户 只 能 访问 内 部 特定 主机 上 的 特定 服务 ,或 者 只 能 访问 堡垒 主机 上 的 特定 服务 ， 
在 提供 服务 的 同时 仍然 保证 了 内 部 网 络 的 安全 。 


E> 
2K 路 由 器 充当 
ul 


yy 包 过 滤 防 火 墙 
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4-13 被 屏蔽 主机 防火 墙 体系 结构 


(2) 内 部 网 络 用 户 访问 外 部 网 络 较为 方便 、 灵 活 ， 在 被 屏蔽 路 由 器 和 堡 爸 主 机 不 多 
许 内 部 用 户 直接 访问 外 部 网 络 ， 则 用 户 通过 堡垒 主机 提供 的 代理 服务 访问 外 部 资源 。 在 
实际 应 用 中 ， 可 以 将 两 种 方式 综合 运用 ， 访 问 不 同 的 服务 采用 不 同 的 方式 。 例 如 ， 内 部 
用 户 访问 WWW， 可 以 采用 堡垒 主机 的 应 用 层 代 理 ， 而 一 些 新 的 服务 可 以 直接 访问 。 

(3) 由 于 堡垒 主机 和 屏蔽 路 由 器 同时 存在 ， 使 得 堡垒 主机 可 以 从 部 分 安全 事务 中 解 
脱出 来 ， 从 而 可 以 以 更 高 的 效率 提供 数据 包 过 滤 或 代理 服务 。 

被 屏蔽 主机 体系 结构 的 缺点 如 下 。 

(1) 在 被 屏蔽 主机 体系 结构 中 ， 外 部 用 户 在 被 允许 的 情况 下 可 以 访问 内 部 网 络 ， 这 
样 存在 一 定安 全 隐患 。 

(2) 与 双重 宿主 主机 体系 一 样 ， 一 旦 用 户 入 侵 堡垒 主机 ， 就 会 导致 内 部 网 络 处 于 不 
安全 状态 。 

(3) 路 由 器 和 堡垒 主机 的 过 滤 规 则 配置 较为 复杂 ， 较 容易 形成 错误 和 漏洞 。 

3. 被 屏蔽 子 网 体系 结构 

在 防火 墙 的 双重 宿主 主机 体系 结构 和 被 屏蔽 子 网 体系 结构 中 ， 主 机 都 是 最 主要 的 安 


堡 难 主机 
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全 缺陷 , 一 旦 主机 被 入 侵 ，, 则 整个 网 络 都 处 于 入 侵 者 的 威胁 之 中 ， 为 解决 这 种 安全 隐患， 
出 现 了 屏蔽 子 网 体系 结构 。 

被 屏蔽 子 网 体系 结构 将 防火 墙 的 概念 扩充 至 一 个 由 两 台 路 由 器 包围 起 来 的 特殊 网 
络 一 一 周边 网 络 ， 并 且 将 容易 受到 攻击 的 堡垒 主机 都 置 于 这 个 周边 网 络 中 。 一 个 典型 的 
被 屏蔽 子 网 体系 结构 如 图 4-14 所 示 。 


外 部 路 由 器 


周边 网 络 (DMZ) 


内 部 网 络 


< 
图 4-14 被 屏蔽 子 网 防火 墙 体系 结构 


被 屏蔽 子 网 体系 结构 的 防火 墙 比较 复杂 ， 主 要 由 4 个 部 件 组 成 ， 分 别 为 周边 网 络 、 
外 部 路 由 器 、 内 部 路 由 器 以 及 堡垒 主 机 。 

(1) 周边 网 络 。 周 边 网 络 是 位 于 非 安 全 、 不 可 信 的 外 部 网 络 与 安全 、 可 信 的 内 部 网 
络 之 间 的 一 个 附加 网 络 。 周 边 网 络 与 外 部 网 络 、 周 边 网 络 与 内 部 网 络 之 间 都 是 通过 屏蔽 
路 由 器 实现 逻辑 隔离 的 ， 因 此 ， 外 部 用 户 必 须 穿 越 两 道 屏 蔽 路 由 器 才能 访问 内 部 网 络 。 
一 般 情 况 下 ， 外 部 用 户 不 能 访问 内 部 网 络 ， 仅 能 够 访问 周边 网 络 中 的 资源 。 由 于 内 部 用 
户 间 通 信 的 数据 包 不 会 通过 屏蔽 路 由 器 传递 至 周边 网 络 ， 外 部 用 户 即使 入 侵 了 周边 网 络 
中 的 堡垒 主机 ， 也 无 法 监听 到 内 部 网 络 的 信息 。 

(2) 外 部 路 由 器 。 外 部 路 由 器 的 主要 作用 在 于 保护 周边 网 络 和 内 部 网 络 ， 是 屏蔽 子 
网 体系 结构 的 第 一 道 屏 障 。 在 其 上 设置 了 对 周边 网 络 和 内 部 网 络 进行 访问 的 过 滤 规 则 ， 
该 规则 主要 针对 外 网 用 户 , 例如 , 限制 外 网 用 户 仅 能 访问 周边 网 络 而 不 能 访问 内 部 网 络 ， 
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或 者 仅 能 访问 内 部 网 络 的 部 分 主机 。 外 部 路 由 器 基本 上 对 周边 网 络 发 出 的 数据 包 不 进行 
过 滤 ， 因 为 周边 网 络 发 送 的 数据 包 都 来 自 于 堡垒 主机 或 由 内 部 路 由 器 过 滤 后 的 内 部 主机 
数据 包 。 外 部 路 由 器 上 应 该 复制 内 部 服务 器 上 的 规则 ， 以 避免 内 部 路 由 器 失效 的 负面 
影响 。 

(3) 内 部 路 由 器 。 内 部 路 由 器 用 于 隔离 周边 网 络 和 内 部 网 络 ， 是 屏蔽 子 网 体系 结构 
的 第 二 道 屏障 。 在 其 上 设置 了 针对 内 部 用 户 的 访问 过 滤 规 则 ， 对 内 部 用 户 访问 周边 网 络 
和 外 部 网 络 进行 限制 ， 例 如 ， 部 分 内 部 网 络 用 户 只 能 访问 周边 网 络 而 不 能 访问 外 边 网 络 
等 。 内 部 路 由 器 复制 了 外 边 路 由 器 的 内 网 过 滤 规 则 ， 以 防止 外 部 路 由 器 的 过 滤 功 能 失效 
的 严重 后 果 。 内 部 路 由 器 还 要 限制 周边 网 络 的 堡垒 主机 和 内 部 网 络 之 间 的 访问 ， 以 减轻 
在 堡垒 主机 被 入 侵 后 可 能 影响 的 内 部 主机 数量 和 服务 的 数量 。 

(4) 保 人 又 主机。 在 被 屏蔽 子 网 体系 结构 中 ， 堡 从 主 机 位 于 周边 网 络 ， 可 以 向 外 部 用 
户 提供 WWW、FTP 等 服务 ， 接 受 来 自 外 部 网 络 用 户 的 服务 资源 访问 请 求 。 同 时 ， 堡 又 
主机 也 可 以 向 内 部 网 络 用 户 提供 DNS、 电 子 邮件 、WWW 代理 和 FTP 代理 等 多 种 服务 ， 
提供 内 部 网 络 用 户 访问 外 部 资源 的 接口 。 

与 双重 宿主 主机 体系 结构 和 被 屏蔽 子 网 体系 结构 相 比较 ， 被 屏蔽 子 网 体系 结构 具有 
明显 的 优越 性 ， 这 些 优 越 性 体现 在 如 下 几 个 方面 。 

(1) 由 外 部 路 由 器 和 内 部 路 由 器 构成 了 双 层 防护 体系 ， 入 侵 者 难以 突破 。 

(2) 外 部 用 户 访问 服务 资源 时 无 需 进入 内 部 网 络 ， 在 保证 服务 的 情况 下 提高 了 内 部 
网 络 安全 性 。 

(3) 外 部 路 由 器 和 内 部 路 由 器 上 的 过 滤 规 则 复制 避免 了 路 由 器 失效 产生 的 安全 隐患 。 

(4) 堡垒 主机 由 外 部 路 由 器 的 过 滤 规 则 和 本 机 安全 机 制 共同 防护 ， 用 户 只 能 访问 堡 
又 主机 提供 的 服务 。 

(5) 即使 入 侵 者 通过 堡垒 主机 提供 服务 中 的 缺陷 控制 了 堡垒 主机 ， 由 于 内 部 防火 墙 
将 内 部 网 络 和 周边 网 络 隔离 ， 入 侵 者 也 无 法 通过 监听 周边 网 络 获取 内 部 网 络 信息 。 

被 屏蔽 子 网 体系 结构 的 缺点 如 下 。 

(1) 构建 被 屏蔽 子 网 体系 结构 的 成 本 较 高 。 

(2) 被 屏蔽 子 网 体系 结构 的 配置 较为 复杂 ， 容 易 出 现 配 置 错误 导致 的 安全 隐患 。 

4. 其 他 体系 结构 

除了 经 典 的 三 种 体系 结构 之 外 ,防火 墙 还 存在 着 多 种 经 典 结构 的 变化 形式 , 这 些 变 化 
形式 主要 是 针对 被 屏蔽 子 网 体系 结构 的 扩展 , 在 不 同 的 网 络 环境 和 不 同 的 安全 需求 下 的 运 
用 。 这 些 体 系 结构 的 变化 包括 以 下 内 容 。 

(1) 合并 内 部 和 外 部 路 由 器 。 

(2) 合并 堡垒 主机 和 外 部 路 由 器 。 

(3) 合并 堡垒 主机 和 内 部 路 由 器 。 

(4) 多 台 内 部 路 由 器 。 
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(5) 多 台 外 部 路 由 器 。 
(6) 多 个 周边 网 络 。 


4.3.3 分布 式 防火 墙 技 术 


1. 分 布 式 防火 墙 技术 产生 的 背景 

传统 的 边缘 防火 墙 只 对 企业 网 络 的 周边 提供 保护 。 边 缘 防火 墙 对 从 外 部 网 络 进入 企 
业内 部 局 域 网 的 流量 进行 过 滤 和 审查 ， 它 们 并 不 能 确保 企业 内 部 网 络 用 户 之 间 的 安全 访 
问 。 据 统计 ，60% 的 攻击 和 越权 访问 来 自 内 部 ， 边 界 防 火 墙 在 对 付 网 络 内 部 威胁 时 束 手 
无 策 。 因为 传统 的 边界 式 防火 墙 设置 一 般 都 基于 IP 地 址 ,因而 一 些 内 部 主机 和 服务 器 的 
卫 地 址 的 变化 将 导致 设置 文件 中 的 规则 改变 ， 也 就 是 说 ， 这 些 规则 的 设 定 受到 网 络 拓扑 
的 制约 。 随 着 IP 安全 协议 〈 如 IPSec、SSH 和 SSL 等 ) 的 逐渐 实现 ， 如 果 分 处 内 部 网 络 
和 外 部 网 络 的 两 台 主机 采用 卫 安全 协议 进行 端 到 端的 通信 (其 实 以 上 所 介绍 的 SSL VPN 
就 是 这 样 一 种 端 到 端 通信 的 应 用 ), 防火 墙 由 于 没有 相应 的 密 钥 而 无 法 看 到 IP 包 的 内 容 ， 
因而 也 就 无 法 对 其 进行 过 滤 。 由 于 防火 墙 假设 内 部 网 络 的 用 户 可 信任 ， 一 旦 有 内 部 主机 
被 侵入 ， 通 常 容易 扩展 该 次 攻击 。 对 于 这 些 问 题 ， 传 统 意义 上 的 防火 墙 是 很 难 解决 的 。 

另外 ， 由 于 边界 式 防 火 墙 把 检查 机 制 集中 在 网 络 边界 处 的 单 点 上 ， 产 生 了 网 络 的 瓶 
颈 和 单 点 故障 隐患 。 从 性 能 的 角度 来 说 ， 防 火 墙 极 易 成 为 网 络 流量 的 瓶颈 。 

基于 此 ， 一 种 新 型 的 防火 墙 技术 一 一 分 布 式 防火 墙 “distributed firewalls) 技术 产生 
了 。 它 可 以 很 好 地 解决 边界 防火 墙 以 上 的 不 足 ， 当 然 不 是 对 每 台 主 机 安装 防火 墙 ， 而 是 
把 防火 墙 的 安全 防护 系统 延伸 到 网 络 中 的 各 台 主 机 。 该 技术 一 方面 保证 用 户 的 投资 不 会 
很 高 ， 另 一 方面 给 网 络 所 带 来 的 安全 防护 是 非常 全 面 的 。 

2. 分 布 式 防 火 墙 的 结构 

分 布 式 防 火 墙 负责 对 网 络 边界 、 各 子 网 和 网 络 内 部 各 节点 之 间 的 安全 防护 ， 根 据 其 
所 需 完成 的 功能 ， 分 布 式 防火 墙 的 体系 结构 包含 如 下 部 分 。 

(1) 网 络 防火 墙 Cnetwork firewall)。 用 于 内 部 网 与 外 部 网 之 间 ， 以 及 内 部 网 各 子 网 
之 间 的 防护 。 在 功能 上 与 传统 的 边界 式 防 火 墙 类 似 ， 但 与 传统 边界 防火 墙 相 比 ， 它 多 了 
一 种 用 于 对 内 部 子 网 之 间 的 安全 防护 层 , 这样 整 个 网 络 的 安全 防护 体系 就 显得 更 加 全 面 ， 
更 加 可 靠 。 

(2) 主机 防火 墙 (host firewall)。 用 于 对 网 络 中 的 服务 器 和 桌面 机 进行 防护 ， 达 到 
了 应 用 层 的 安全 防护 ， 比 起 网 络 层 更 加 彻底 。 这 是 传统 边界 式 防火 墙 所 不 具有 的 ， 是 对 
传统 边界 式 防火 墙 在 安全 体系 方面 的 一 个 完善 。 

(3) 中 心 管理 系统 (central management system)。 这 是 分 布 式 防火 墙 管理 器 软件 ， 
负责 总 体 安全 策略 的 策划 、 管理、 分 发 及 日 志 的 汇总 。 提高 了 防火 墙 的 安全 防护 灵活 性 ， 
同时 具备 高 可 管理 性 。 
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3 分布 式 防火 墙 的 主要 特点 

(1) 主机 驻 留 。 分 布 式 防火 墙 的 最 重要 特征 是 驻 留 在 被 保护 的 主机 上 ， 该 主机 以 外 
的 网 络 不 管 是 处 在 网 络 内 部 还 是 网 络 外 部 都 认为 是 不 可 信任 的 ， 因 此 可 以 针对 该 主机 上 
运行 的 具体 应 用 和 对 外 提供 的 服务 设 定 针对 性 很 强 的 安全 策略 。 使 得 安全 策略 不 仅仅 停 
留 在 网 络 与 网 络 之 间 ， 而 是 把 安全 策略 推广 延伸 到 每 个 网 络 末端 。 

(2) 霸 入 操作 系统 内 核 。 这 主要 是 针对 纯 软 件 式 的 分 布 式 防火 墙 而 言 的 。 操 作 系 统 
自身 存在 许多 安全 漏洞 是 众所周知 的 。 纯 软件 式 的 分 布 式 主机 防火 墙 也 运行 在 主机 上 ， 
所 以 其 运行 机 制 是 主机 防火 墙 的 关键 技术 之 一 。 为 自身 的 安全 和 彻底 堵 住 操作 系统 的 漏 
洞 , 主机 防火 墙 的 安全 监测 核心 引擎 要 以 嵌入 操作 系统 内 核 的 形态 运行 , 直接 接管 网 卡 ， 
在 把 所 有 数据 包 进 行 检查 后 再 提交 操作 系统 。 

(3) 安全 策略 的 统一 管理 与 部 署 。 针 对 桌面 应 用 的 主机 防火 墙 安全 策略 由 整个 系统 
的 管理 员 统一 安排 和 设置 ， 除 了 对 该 桌面 机 起 到 保护 作用 外 ， 也 可 以 对 该 桌面 机 的 对 外 
访问 加 以 控制 , 并 且 这 种 安全 机 制 是 桌面 机 的 使 用 者 不 可 见 和 不 可 改动 的 。 主 机 防火 墙 、 
网 络 防火 墙 、 统 一 的 安全 策略 管理 中 心 三 者 共同 构成 一 个 面向 企业 级 客户 的 整体 安全 防 
护 系统 中 不 可 分 割 的 部 分 ， 整 个 系统 的 安全 检查 机 制 分 散布 置 在 整个 分 布 式 防火 墙 体 
系 中 。 

4. 分 布 式 防火 墙 的 主要 优势 

在 新 的 安全 体系 结构 下 ， 分 布 式 防火 墙 代表 新 一 代 防 火 墙 技术 的 潮流 ， 它 可 以 在 网 
络 的 任何 交界 和 节点 处 设置 屏障 ， 从 而 形成 了 一 个 多 层次 、 多 协议 ， 内 外 皆 防 的 全 方位 
安全 体系 。 主 要 优势 如 下 。 

(1) 增强 了 系统 安全 性 。 增 加 了 针对 主机 的 入 侵 检测 和 防护 功能 ， 加 强 了 对 来 自 内 
部 攻击 的 防范 ， 可 以 实施 全 方位 的 安全 策略 。 由 于 分 布 式 防火 墙 将 防火 墙 功能 分 布 到 网 
络 的 各 个 子 网 、 桌 面 系统 以 及 服务 器 上 ， 从 而 使 企业 网 络 避 免 发 生 由 于 某 一 节点 系统 的 
入 侵 而 导致 入 侵 向 整个 网 络 蔓延 的 情况 ， 同 时 也 使 通过 公共 账号 登录 网 络 的 用 户 无 法 进 
入 那些 限制 访问 的 计算 机 系统 。 弥 补 了 边界 式 防火 墙 对 内 部 网 络 安全 性 防范 的 不 足 。 男 
外 ， 由 于 分 布 式 防火 墙 使 用 了 卫 安全 协议 , 能 够 很 好 地 识别 在 各 种 安全 协议 下 的 内 部 主 
机 之 间 的 端 到 端 网 络 通信 ， 使 各 主机 之 间 的 通信 得 到 了 很 好 的 保护 。 所 以 分 布 式 防 火 墙 
有 能 力 防止 各 种 类 型 的 攻击 。 

(2) 提高 了 系统 性 能 。 传 统 防火 墙 由 于 拥有 单一 的 接 入 控制 点 ， 无 论 对 网 络 的 性 能 
还 是 对 网 络 的 可 靠 性 都 有 不 利 的 影响 。 分 布 式 防火 墙 则 从 根本 上 去 除了 单一 的 接 入 点 ， 
而 使 这 一 问题 迎刃而解 。 另 一 方面 ， 分 布 式 防火 墙 可 以 针对 各 个 服务 器 及 终端 计算 机 的 
不 同 需 要 ， 对 防火 墙 进行 最 佳 配置 ， 配 置 时 能 够 充分 考虑 到 这 些 主机 上 运行 的 应 用 ， 如 
此 便 可 在 保障 网 络 安全 的 前 提 下 大 大 提高 网 络 运转 效率 。 

(3) 系统 的 扩展 性 。 因 为 分 布 式 防火 墙 分 布 在 整个 企业 的 网 络 或 服务 器 中 ， 所 以 它 
有 具有 无 限制 的 扩展 能 力 。 随 着 网 络 的 增长 ， 它 们 的 处 理 负荷 也 在 网 络 中 进一步 分 布 ， 因 
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此 它们 的 高 性 能 可 以 持续 保持 住 。 而 不 会 像 边界 式 防 火 墙 一 样 随 着 网 络 规模 的 增 大 而 不 
堪 重 负 。 

(4) 实施 主机 策略 。 对 网 络 中 的 各 节点 可 以 起 到 更 安全 的 防护 。 现 在 防火 墙 大 多 缺 
乏 对 主机 意图 的 了 解 ， 通 常 只 能 根据 数据 包 的 外 在 特性 来 进行 过 滤 控 制 。 虽 然 代 理 型 防 
火 墙 能 够 解决 该 问题 ， 但 它 需 要 对 每 一 种 协议 单独 地 编写 代码 ， 其 局 限 性 也 是 显而易见 
的 。 事实 上 ， 攻 击 者 很 容易 伪装 成 合法 包 发 动 攻击 ， 攻 击 包 除了 内 容 以 外 的 部 分 可 以 完 
全 与 合法 包 一 样 。 分 布 式 防 火 墙 由 主机 来 实施 策略 控制 ， 毫 无 疑问 主机 对 自己 的 意图 有 
足够 的 了 解 ， 所 以 分 布 式 防火 墙 依赖 主机 做 出 合适 的 决定 就 能 很 自然 地 解决 这 一 问题 。 

(5) 应 用 更 为 广泛 ， 支 持 VPN 通信 。 分 布 式 防火 墙 最 重要 的 优势 在 于 ， 它 能 够 保 
护 物 理 拓扑 上 不 属于 内 部 网 络 ， 但 位 于 逻辑 上 的 “内 部 ”网 络 的 那些 主机 ， 这 种 需求 随 
着 VPN 的 发 展 越 来 越 多 。 分 布 式 防火 墙 的 建立 本 身 就 是 基于 逻辑 网 络 的 概念 ， 因 此 对 
它 而 言 ， 远 程 内 部 主机 与 物理 上 的 内 部 主机 没有 任何 区 别 。 


4.3.4 ”防火 墙 应 用 规则 


有 人 认为 防火 墙 的 部 署 很 简单 ， 只 需要 把 防火 墙 的 LAN 端口 与 企业 局 域 网 线路 连 
接 ， 把 防火 墙 的 WAN 端口 连接 到 外 部 网 络 线路 即 可 。 其 实 这 是 非常 错误 的 ， 防 火 墙 的 
具体 部 署 方法 要 根据 实际 的 应 用 需求 而 定 ， 不 是 统一 的 。 本 节 将 向 大 家 介绍 防火 墙 的 几 
种 典型 应 用 中 的 部 署 方法 ， 当 然 这 里 所 说 的 防火 墙 均 是 特 指 企业 用 的 硬件 防火 墙 。 不 过 
在 此 之 前 先 要 介绍 采用 堡垒 主机 的 方式 实现 防火 墙 用 途 的 几 种 部 署 方式 。 

尽管 防火 墙 主要 用 于 网 络 边界 ， 但 它 与 路 由 器 一 样 ， 同 样 可 应 用 于 内 网 之 中 ， 起 到 
隔离 内 网 关键 部 门 、 子 网 或 用 户 的 目的 。 这 样 一 来 ， 硬 件 防 火 墙 在 网 络 中 的 应 用 主要 有 
以 下 几 个 方面 。 

(1) 控制 因特网 用 户 对 内 部 网 络 的 访问 。 

(2) 控制 局 域 网 内 部 不 同 部 门 网 络 之 间 的 访问 。 

(3) 控制 对 服务 器 中 心 的 网 络 访问 。 

1. 企业 网 络 体系 结构 

1) 企业 网 络 体系 结构 中 的 三 个 区 域 

在 企业 网 络 体系 结构 中 ， 通 常 有 三 个 区 域 。 

(1) 边界 网 络 。 此 网 络 通过 路 由 器 直接 面向 mtemet， 应 该 以 基本 网 络 通信 筛选 的 形 
式 提供 初始 层面 的 保护 。 它 通过 外 围 防火 墙 将 数据 转发 到 外 围 网 络 。 

(2) 外 围 网 络 。 此 网 络 通常 称 为 DMZ 或 者 边缘 网 络 ， 将 用 户 连 接 到 Web 服务 器 或 
其 他 服务 器 。 然 后 ，Web 服务 器 通过 内 部 防火 墙 连接 到 内 部 网 络 。 

(3) 内 部 网 络 。 内 部 网 络 则 连接 各 个 内 部 服务 器 (如 企业 OA 服务 器 、 数 据 库 服务 
器 、ERP 服务 器 和 PDM 服务 器 等 ) 和 内 部 用 户 。 
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2) 企业 组 织 中 的 防火 墙 及 其 功能 

在 企业 组 织 中 ， 常 常 有 两 个 不 同 的 防火 墙 一 一 外 围 防火 墙 和 内 部 防火 墙 ， 网 络 系 统 
结构 如 图 4-15 所 示 。 虽 然 这 些 防火 墙 的 任务 相似 ， 但 是 它们 有 不 同 的 侧重 点 ， 因 为 外 围 
防火 墙 主要 提供 对 不 受信 任 的 外 部 用 户 的 限制 ， 而 内 部 防火 墙 主要 防止 外 部 用 户 访问 内 
部 网 络 并 且 限 制 内 部 用 户 可 以 执行 的 操作 。 


边界 网 络 外 围 网 络 内 部 网 络 


数据 库 服务 器 


外 围 防火 墙 Web 服 务 器 内 部 防火 墙 数据 存储 
= 


内 部 路 由 器 


4-15 ”企业 网 络 体系 结构 


防火 墙 检查 传 入 的 他 数据 包 并 且 阻 止 那 些 检 测 为 入 侵 性 质 的 数据 包 。 可 以 通过 在 默 
认 情 况 下 将 某 些 数据 包 标 识 为 非法 的 来 完成 某 些 阻挡 。 或 者 ， 也 可 以 将 防火 墙 配置 为 阻 
止 某 些 数据 包 。TCP/P 协议 设计 时 没有 考虑 到 任何 有 关 和 窃取 或 入 侵 的 因素 ， 并 且 有 许多 
弱点 。 例 如 ，ICMP 协议 设计 为 TCP/IP 内 的 一 个 消息 机 制 ， 但 是 这 很 容易 导致 滥用 ， 并 
且 可 能 导致 诸如 拒绝 服务 攻击 等 问题 。 内 部 防火 墙 比 外 围 防火 墙 具 有 更 严格 的 要 求 。 这 
是 因为 内 部 通信 的 合法 目的 地 可 能 是 内 部 网 络 中 的 任何 服务 器 ， 因 而 更 加 难以 控制 。 

3) 选择 防火 墙 时 要 考虑 的 因素 

有 许多 种 类 型 的 防火 墙 ， 在 一 定 程度 上 是 按 价格 区 分 的 ， 但 是 也 可 以 按 功能 和 性 能 
区 分 。 通 常 ， 防 火 墙 的 价格 越 贵 ， 能 力 和 功能 越 好 。 在 选择 防火 墙 之 前 ， 应 该 考虑 注意 
的 事项 包括 预算 、 现 有 设备 、 可 用 性 、 可 扩展 性 和 所 需 的 功能 。 

(1) 预算 方面 的 考虑 。 网 络 环境 中 的 每 个 防火 墙 应 该 在 保持 经 济 、 有 效 的 同时 提供 
尽 可 能 高 级 别 的 服务 ， 但 是 如 果 防 火 墙 过 分 受 成 本 限制 ， 应 预先 估计 这 可 能 会 对 企业 造 
成 潜在 的 损失 。 因 此 在 做 预算 时 ， 应 考虑 企业 网 络 服 务 因 遭受 拒绝 服务 攻击 而 被 中 断 时 
的 停机 时 间 成 本 。 

(2) 现 有 设备 的 考察 。 此 外 ,需要 考虑 企业 中 是 否 有 可 以 用 来 节约 成 本 的 现 有 设备 。 
环境 中 可 能 有 可 以 重新 利用 的 防火 墙 和 可 以 安装 防火 墙 功能 模块 的 路 由 器 。 

(3) 可 用 性 的 考虑 。 可 用 性 的 考虑 包括 : 组 织 需要 防火 墙 在 所 有 的 时 间 都 可 用 吗 ? 
如 果 要 提供 一 个 24X7 小 时 持续 服务 的 开放 Web 服务 器 设备 ， 那 么 将 需要 99.999% 的 可 
靠 性 。 任 何 防火 墙 总 会 有 发 生 故障 的 可 能 性 ， 那 么 如 何 减 少 故障 呢 ? 防火 墙 的 可 用 性 可 
以 通过 两 种 方法 来 改进 。 
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@ 元 余部 件 : 为 某 些 很 可 能 发 生 故 障 的 部 件 〈 如 电源 ) 配置 备用 系统 ， 这 可 以 改 
进 防 火 墙 的 可 用 性 。 因 为 如 果 第 一 个 组 件 发 生 故 障 ， 不 会 对 运营 造成 任何 影响 。 低 成 本 
防火 墙 通常 不 具有 任何 元 余 选 项 。 

@ 备用 设备 : 为 防火 墙 配置 备用 系统 可 以 提供 一 个 具有 完全 适应 性 的 系统 ， 但 这 
需要 较 高 的 成 本 。 当 然 ， 另 一 个 好 处 是 采用 多 台 防 火 墙 提 高 可 用 性 的 同时 ， 配 置 负载 均 
衡 以 便 提高 网 络 的 性 能 。 

(4) 可 扩展 性 的 考虑 。 可 扩展 性 的 考虑 是 指 防火 墙 是 否 易于 扩展 其 功能 模块 ， 当 企 
业 网 络 增加 新 的 网 络 出 口 时 ， 防 火 墙 是 否 能 通过 增加 模块 来 支持 更 多 的 接口 。 当 网 络 流 
量 快速 增长 时 ， 防 火 墙 会 不 会 成 为 网 络 的 瓶颈 ， 这 些 未 来 的 扩展 需求 都 应 该 纳入 考虑 。 

(5) 所 需 功能 的 考虑 。 所 需 功能 的 考虑 是 指 需要 防火 墙 具 备 哪 些 功能 ?如 是 否 支持 
防御 DoS/DDoS， 是 否 支 持 VPN， 是 否 支 持 SNMPv3 协议 ， 能 否 保护 特定 主机 的 特定 服 
务 等 。 

2. 控制 因特网 用 户 对 内 部 网 络 的 访问 

控制 因特网 用 户 对 内 部 网 络 的 访问 是 防火 墙 的 一 种 最 基本 、 最 广泛 的 应 用 。 在 这 种 
应 用 环境 下 ， 防 火 墙 位 于 企业 内 部 局 域 网 与 因特网 之 间 ， 主 要 保护 内 部 网 络 不 遭受 因 特 
网 用 户 的 攻击 。 目 前 绝 大 多 数 中 小 型 企业 ， 采 用 防火 墙 的 主要 目的 就 是 防止 外 部 攻击 。 

1) 网 络 结构 中 划分 不 同 的 安全 级 别 

在 这 种 应 用 中 ， 整 个 网 络 结构 分 为 三 个 不 同 级 别 的 安全 区 域 。 

(1) 内 部 网 络 。 内 部 网 络 是 防火 墙 重 点 保护 的 对 象 ， 包 括 全 部 的 企业 内 部 网 络 设备 
及 用 户主 机 。 不 过 要 注意 的 是 ， 它 是 从 总 体 上 来 进行 保护 的 ， 因 为 它 位 于 内 、 外 部 网 络 
出 /入 口 之 间 , 不 针对 具体 的 主机 。 这 个 区 域 是 防火 墙 的 可 信 区 域 ， 由 内 网 用 户 发 出 的 通 
信和 连接 默认 是 无 需 过 滤 和 审计 的 。 

(2) 外 部 网 络 。 外 部 网 络 是 防火 墙 要 防备 的 对 象 , 包括 外 部 因特网 用 户主 机 和 设备 。 
这 个 区 域 为 防火 墙 的 非 可 信和 网络 区 域 ， 外 部 网 络 用 户 发 起 的 通信 连接 必须 按照 防火 墙 的 
安全 过 滤 规 则 进行 过 滤 和 审计 ， 不 符合 条 件 的 则 不 允许 连接 ， 起 到 保护 内 网 的 目的 。 

(3) DMZ 区 域 。DMZ 区 域 是 从 企业 内 部 网 络 中 划分 出 来 的 一 个 逻辑 区 域 ， 其 中 包 
括 内 部 网 络 中 用 于 公众 服务 的 外 部 服务 器 ， 如 Web 服务器、 邮件 服务 器 、FTP 服务 器 和 
外 部 DNS 服务 器 等 ， 都 是 为 因特网 公众 用 户 提供 某 种 信息 服务 的 。 在 这 个 区 域 中 的 网 
络 受 保护 的 级 别 较 低 ， 需 要 对 外 开放 某 些 特定 的 服务 和 应 用 ， 因 为 如 果 级 别 太 高 ， 这 些 
提供 公共 服务 的 网 络 应 用 就 无 法 进行 。 

2) 设置 安全 策略 

在 以 上 三 个 区 域 中 ， 用 户 需 要 对 不 同 的 安全 区 域 设 置 不 同 的 安全 策略 。 虽 然 内 部 网 
络 和 DMZ 区 域 都 属于 企业 内 部 网 络 的 一 部 分 ， 但 它们 的 安全 级 别 〈 策 略 ) 是 不 同 的 。 
对 于 要 保护 的 大 部 分 内 部 网 络 ， 一 般 情况 下 禁止 所 有 来 自 因特网 用 户 的 访问 ; 而 由 企业 
内 部 网 络 划分 出 去 的 DMZ 区 ， 因 需 为 因特网 应 用 提供 相关 的 服务 ， 所 以 在 一 定 程 度 上 ， 
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没有 内 部 网 络 限制 那么 严格 ， 如 Web 服务 器 通常 允许 任何 人 进行 正常 的 访问 。 必 要 时 可 
在 防火 墙 中 配置 NAT 对 外 屏蔽 内 部 网 络 结构 ， 保 护 内 网 安全 。 

在 这 种 应 用 环境 中 ， 在 网 络 拓扑 结构 上 企 事业 单位 可 以 有 两 种 选择 ， 这 主要 是 根据 
企业 原 有 网 络 设备 情况 而 定 。 如 果 企 业 原来 已 有 边界 路 由 器 ， 则 可 充分 利用 原 有 设备 ， 
利用 边界 路 由 器 的 包 过 滤 功 能 ， 添 加 相应 的 防火 墙 配置 ， 这 样 整 个 网 络 就 相当 于 有 两 重 
防火 墙 功能 。 对 于 需要 对 外 提供 服务 的 公用 服务 器 ， 则 可 直接 与 边界 路 由 器 相连 ， 不 用 
经 过 防火 墙 。 它 可 只 经 过 包 过 滤 路 由 器 的 简单 防护 ， 网 络 结构 如 图 4-16 所 示 。 在 此 网 络 
结构 中 ， 边 界 路 由 器 与 防火 墙 一 起 组 成 了 两 道 安 全 防线 ， 并 且 在 这 两 者 之 间 可 以 设置 一 
个 DMZ 区 ， 用 来 放置 那些 允许 外 部 用 户 访问 的 公用 服务 器 设施 。 


内 网 用 户 


内 网 
服务 器 


企业 局 域 网 内 网 


图 4-16 有 边界 路 由 器 时 的 网 络 结构 


如 果 企 业 原 来 没有 边界 路 由 器 ， 而 且 也 不 打算 添加 边界 路 由 器 ， 则 此 时 仅 需 由 防火 
墙 来 保护 内 部 网 络 。 此 时 ，DMZ 区 域 和 需要 保护 的 内 部 网 络 连接 防火 墙 的 不 同 LAN 接 
口 ， 网 络 结构 如 图 4-17 所 示 ， 同 时 设置 不 同 的 安全 策略 。 这 种 拓扑 结构 虽然 只 有 一 道 安 
全 防线 ， 但 对 于 大 多 数 中 小 型 企业 来 说 完全 可 以 满足 。 不 过 在 选 购 防 火 墙 时 要 注意 ， 防 
火 墙 一 定 要 有 两 个 以 上 的 LAN 网 络 接口 。 

3. 控制 内 部 网 络 不 同 部 门 之 间 的 访问 

这 种 应 用 环境 是 指 在 一 个 企业 内 部 网 络 之 间 ， 对 一 些 安全 敏感 的 部 门 或 者 特殊 主机 
进行 的 隔离 保护 〈 当 然 , 所 隔离 的 也 可 以 是 一 个 单独 的 子 网 )。 通 过 防火 墙 保护 内 部 网 络 
中 敏感 部 门 的 资源 不 被 非法 访问 。 这 些 所 谓 的 “敏感 部 门 ” 通常 是 指 决策 部 门 、 财 务 部 
门 和 研究 设计 部 门 , 其 数据 对 于 企业 来 说 非常 重要 , 不 能 随便 被 非 授权 的 内 网 用 户 访问 ， 
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但 其 工作 又 不 能 完全 离开 企业 网 络 。 一 种 方法 是 通过 配置 VLAN 实现 逻辑 隔离 ， 另 一 种 
有 效 的 方法 就 是 采用 防火 墙 进行 隔离 。 通 过 防火 墙 隔离 后 , 尽管 同属 于 一 个 内 部 局 域 网 ， 
但 是 其 他 用 户 的 访问 都 需要 经 过 防火 墙 的 过 滤 ， 符 合 条 件 的 用 户 才能 访问 。 这 类 防火 墙 
通常 不 仅 通 过 包 过 滤 来 筛选 数据 包 ， 而 且 在 防火 墙 中 可 以 设置 ACL 访问 控制 列表 ) 多 
许 哪 些 用 户 可 以 访问 。 此 外 ， 这 种 防火 墙 方案 还 具有 日 志 记 录 功 能 ， 对 网 络 管理 员 了 解 
网 络 安全 现状 及 改进 网 络 非常 重要 。 其 网 络 结构 如 图 4-18 所 示 。 


外 部 DNS 
服务 器 


边界 防火 墙 


DMZ 区 


内 网 
服务 器 


企业 局 域 网 内 网 


图 4-17 无 边界 路 由 器 时 的 网 络 结构 


ge 需要 保护 的 部门 
这 轩 卫 淡出 或 子 网 用 户 


Ce 


图 4-18 ”防火墙 在 内 网 隔离 中 的 应 用 
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4. 控制 对 服务 器 中 心 的 网 络 访问 

对 于 一 个 服务 器 中 心 ， 如 主机 托管 中 心 ， 其 众多 服务 器 需要 对 第 三 方 〈 合 作 伙伴 、 
因特网 用 户 等 ) 开放 ， 但 是 所 有 这 些 服务 器 分 别 属于 不 同 用 户 所 有 ， 其 安全 策略 也 肯定 
各 不 相同 。 如 果 把 它们 都 定义 在 同一 个 安全 区 域 中 ， 显 然 不 能 满足 各 用 户 的 不 同 需求 ， 
这 时 就 要 分 别 设置 DMZ。 要 按 不 同安 全 策略 保护 这 些 服务 器 ， 可 以 有 两 种 实施 方案 。 

(1) 为 每 个 企业 用 户 的 服务 器 或 服务 器 群 单独 配置 一 个 独立 的 防火 墙 ， 网 络 结构 如 
图 4-19 所 示 。 这 种 方案 是 一 种 最 直接 、 最 简单 的 方法 ， 配 置 方法 也 最 容易 ， 但 这 种 方案 
从 经 济 上 对 托管 中 心 来 说 投资 非常 大 , 除非 每 个 企业 用 户 的 托管 服务 器 都 非常 多 。 另 外 ， 
托管 中 心 管理 员 面 对 这 么 多 防火 墙 ， 其 管理 工作 量 也 相对 而 言 较 大 。 


托管 中 心 高 性 
能 路 由 器 


图 4-19 多 防火 墙 方案 的 网 络 结构 


(2) 采用 虚拟 防火 墙 方式 ， 网 络 结构 如 图 4-20 所 示 。 这 主要 是 利用 可 网 管 交换 机 的 
VLAN (虚拟 局 域 网 ) 功能 ， 为 每 一 台 连 接 在 交换 机 上 的 企业 用 户 服务 器 群 配 置 成 一 个 
单独 的 VLAN 子 网 ， 然 后 通过 高 性 能 防火 墙 针 对 每 个 VLAN 子 网 配置 过 滤 策 略 和 安全 
规则 ， 就 相当 于 将 一 个 高 性 能 防火 墙 划分 为 多 个 虚拟 防火 墙 。 这 种 方案 虽然 配置 较为 复 
杂 ， 但 是 比较 经 济 可 行 。 


< 一 四 一 自 


托管 中 心 高 性 ,。 “托管 中 心 高 性 
能 路 由 器 防火 墙 能 交换 机 


4-20 ”虚拟 防火 墙 方案 网 络 结构 


598 网 络 规划 设计 师 教 程 


4.3.5 ”内 部 防火 墙 系统 应 用 设计 


防火 墙 一 般 位 于 网 络 边界 ， 所 以 又 俗称 边界 防火 墙 。 但 是 现在 的 网 络 内 部 安全 形式 
也 不 容 乐 观 ， 于 是 防火 的 安全 防护 职责 也 就 由 外 向 内 渗透 了 ， 一 些 防火 墙 设备 开发 商 就 
专门 针对 内 网 安全 控制 需求 而 开发 了 专用 于 内 网 的 防火 墙 产品 ， 使 得 防火 墙 的 应 用 更 加 
广泛 。 

1. 网 络 上 的 用 户 分 类 

内 部 防火 墙 用 于 控制 对 内 部 网 络 的 访问 ， 以 及 从 内 部 网 络 进 行 访问 。 在 部 署 内 部 网 
络 防火 墙 系统 时 首先 要 清楚 防火 墙 所 要 作用 的 用 户 类 型 ， 有 针对 性 地 为 各 类 用 户 部 署 策 
略 。 总 的 来 说 ， 在 这 样 一 个 安全 防护 系统 中 ， 从 防火 墙角 度 来 看 ， 网 络 上 的 用 户 可 以 分 
为 以 下 三 类 。 

(1) 信任 用 户 。 这 类 用 户 是 指 企业 的 雇员 。 

(2) 部 分 信任 用 户 。 这 类 用 户 是 指 企业 的 业务 合作 伙伴 ， 这 类 用 户 的 信任 级 别 比 不 
受信 任 的 用 户 高 。 但 是 ， 其 信任 级 别 经 常 比 企业 的 雇员 要 低 。 

(3) 不 信任 用 户 。 这 类 用 户 是 指 外 部 网 络 用 户 ， 如 企业 公共 网 站 的 用 户 。 理 论 上 ， 
来 自 Intemet 的 不 受信 任 的 用 户 应 该 仅 访问 外 围 区 域 中 的 Web 服务 器 。 如 果 他 们 需要 对 
内 部 服务 器 进行 访问 , 受信 任 的 Web 服务 器 会 代表 他 们 进行 查询 , 实质 上 还 是 不 允许 不 
受信 任 的 用 户 通过 此 内 部 防火 墙 。 

2. 防火 墙 的 类 别 选择 及 考虑 事项 

在 选择 使 用 的 防火 墙 类 别 时 ， 应 该 考虑 许多 问题 。 表 4-6 着 重 说 明了 这 些 问 题 。 


表 4-6 内 部 防火 墙 类 别 选择 注意 事项 


实现 的 防火 墙 的 典型 特征 
这 是 所 需 的 安全 程度 与 功能 的 成 本 , 以 及 增加 安全 性 可 能 导 
致 的 性 能 的 潜在 下 降 之 间 的 权衡 。 虽 然 许多 组 织 希望 防火 墙 
提供 最 高 的 安全 性 , 但 是 有 些 组 织 并 不 愿意 接受 伴随 而 来 的 
性 能 降低 。 例 如 ， 对 于 容量 非常 大 的 非 电子 商务 网 站 ， 基 于 
通过 使 用 静态 数据 包 筛 选 器 而 不 是 应 用 程序 层 筛选 获得 的 
较 高 级 别 的 吞吐 量 ， 可 能 允许 较 低级 别 的 安全 
这 取决 于 所 需 的 性 能 、 数 据 的 敏感 性 和 需要 从 外 围 区 域 进行 
访问 的 频率 
通常 使 用 某 种 形式 的 日 志 ， 但 是 通常 还 需要 事件 监视 机 制 。 
可 以 在 这 里 选择 不 允许 远程 管理 以 阻止 恶意 用 户 远程 管理 
设备 
这 些 将 根据 每 个 环境 而 变化 , 但 是 设备 或 服务 器 硬件 的 功能 
以 及 要 使 用 的 防火 墙 功能 将 确定 整个 网 络 的 可 用 吞吐 量 


考虑 事项 


所 需 的 防火 墙 功能 , 如 安全 管理 员 所 指 
定 的 


无 论 设备 是 专用 的 物理 设备 , 提供 其 他 
功能 ， 还 是 物理 设备 上 的 逻辑 防火 墙 


设备 的 管理 功能 要 求 , 如 组 织 的 管理 体 
系 结构 所 指定 的 


吞吐 量 要 求 大 小 很 可 能 由 组 织 内 的 网 
络 和 服务 管理 员 来 确定 
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续 表 
考虑 事项 实现 的 防火 墙 的 典型 特征 
这 也 要 取决 于 Web 服务 器 的 访问 要 求 。 如 果 它 们 主要 用 于 
处 理 提供 网 页 的 信息 请 求 , 则 内 部 网 络 的 通信 和 量 将 很 低 。 但 
是 ， 电 子 商 务 环境 将 需要 高 级 别 的 可 用 性 


可 用 性 要 求 


3. 内 部 防火 墙 规则 

内 部 防火 墙 监视 外 围 区 域 和 信任 的 内 部 区 域 之 间 的 通信 。 由 于 这 些 网 络 之 间 通 信 类 
型 和 数据 流 的 复杂 性 , 内 部 防火 墙 的 技术 要 求 比 外 围 防火 墙 的 技术 要 求 更 加 复杂 。 通常 ， 
内 部 防火 墙 在 默认 情况 下 ， 或 者 通过 设置 将 需要 遵循 以 下 规则 。 

(1) 默认 情况 下 ， 阻 止 所 有 数据 包 。 

(2) 在 外 围 接 口上 ， 阻 止 看 起 来 好 像 来 自 内 部 卫 地 址 的 传 入 数据 包 ， 以 阻止 欺骗 。 

(3) 在 内 部 接口 上 ， 阻 止 看 起 来 好 像 来 自 外 部 卫 地 址 的 传 出 数据 包 ， 以 限制 内 部 
攻击 。 

(4) 允许 从 内 部 DNS 服务 器 到 DNS 解析 程序 Bastion 主机 的 基于 UDP 的 查询 和 
响应 。 

(5) 允许 从 DNS 解析 程序 Bastion 主机 到 内 部 DNS 服务 器 的 基于 UDP 的 查询 和 
响应 。 

(6) 允许 从 内 部 DNS 服务 器 到 DNS 解析 程序 Bastion 主机 的 基于 TCP 的 查询 ， 包 
括 对 这 些 查询 的 响应 。 

(7) 允许 从 DNS 解析 程序 Bastion 主机 到 内 部 DNS 服务 器 的 基于 TCP 的 查询 ， 包 
括 对 这 些 查 询 的 响应 。 

(8) 允许 DNS 广告 商 Bastion 主机 和 内 部 DNS 服务 器 主机 之 间 的 区 域 传输 。 

(9) 允许 从 内 部 SMTP 邮件 服务 器 到 出 站 SMTP Bastion 主机 的 传 出 邮件 。 

(10) 允许 从 入 站 SMTP Bastion 主机 到 内 部 SMTP 邮件 服务 器 的 传 入 邮件 。 

(11) 允许 来 自 VPN 服务 器 后 端的 通信 到 达 内 部 主机 并 且 允 许 响 应 返回 到 VPN 服 
务 器 。 

(12) 允许 验证 通信 到 达 内 部 网 络 上 的 RADIUS 服务 器 并 且 人 允许 响应 返回 到 VPN 服 
务 器 。 

(13) 来 自 内 部 客户 端的 所 有 出 站 Web 访问 将 通过 代理 服务 器 ， 并 且 响 应 将 返回 客 
户 端 。 

(14) 在 外 围 域 和 内 部 域 的 网 段 之 间 支 持 Windows Server 2000/2003 域 验 证 通信 。 

(15) 至 少 支持 5 个 网 段 ， 在 所 有 加 入 的 网 段 之 间 执 行 数据 包 的 状态 检查 (线路 层 
防火 墙 一 一 第 3 层 和 第 4 层 ) 。 

(16) 支持 高 可 用 性 功能 ， 如 状态 故障 转移 。 
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(17) 在 所 有 连接 的 网 段 之 间 路 由 通信 ， 而 不 使 用 网 络 地 址 转换 。 

说 明 : 在 本 部 分 中 提 及 了 “Bastion 主机 (堡垒 主机 〉 ”， 其 实 也 就 是 通常 所 说 的 
DMZ 区 域 中 的 主机 。Bastion 主机 是 位 于 外 围 网 络 中 的 服务 器 ， 向 内 部 和 外 部 用 户 提供 
服务 。Bastion 主机 包括 Web 服务 器 、E-mail 邮件 服务 器 、FTP 服务 器 和 VPN 服务 器 等 
需要 为 公众 提供 服务 的 服务 器 。 

4. 内 部 防火 墙 的 可 用 性 需求 

内 部 防火 墙 的 应 用 环境 与 传统 的 边界 防火 墙 不 太一 样 ， 所 需 的 策略 规则 也 不 一 样 ， 
这 样 对 内 部 防火 墙 的 可 用 性 要 求 也 有 所 区 别 。 基 于 硬件 的 防火 墙 通常 在 专用 的 硬件 平台 
上 运行 特殊 编制 的 代码 ， 是 基于 它们 可 以 处 理 的 连接 个 数 和 运行 的 软件 的 复杂 性 来 衡量 
的 。 基 于 软件 的 防火 墙 也 可 以 根据 并 发 连接 的 数量 和 防火 墙 软件 的 复杂 程度 进行 配置 。 
同时 ， 还 应 该 考虑 可 能 在 防火 墙 服务 器 上 运行 的 其 他 软件 ， 如 负载 平衡 和 VPN 软件 。 
此 时 ， 可 能 就 需要 考虑 向 上 和 向 外 调整 防火 墙 的 方法 了 ， 如 通过 添加 附加 处 理 器 、 内 存 
和 网 卡 增加 系统 的 能 力 ， 以 及 使 用 多 系统 和 负载 平衡 来 分 担 防火 墙 任务 。 目 前 一 些 企业 
级 防火 墙 产 品 还 利用 对 称 多 重 处 理 (SMP) 来 提高 性 能 , 就 像 企业 级 服务 器 一 样 。Windows 
Server 2003 的 网 络 负载 均衡 服务 可 以 为 一 些 软件 防火 墙 产 品 提供 容错 、 高 可 用 性 、 高 效 
率 ， 但 相 比 硬件 的 负载 平衡 方案 来 说 ， 要 逊色 不 少 。 

在 内 部 防火 墙 方案 中 ， 根 据 具 体 实际 需求 ， 可 以 采用 不 同 的 防火 墙 系统 配置 方案 ， 
如 可 以 是 单一 无 元 余 组 件 的 防火 墙 ， 也 可 以 是 单一 有 宛 余 组 件 的 ， 还 可 以 是 合并 了 某 些 
类 型 的 故障 转移 和 负载 平衡 机 制 的 容错 防火 墙 集 。 下 面 分 别 介绍 这 些 方案 。 

1) 没有 元 余 组 件 的 单一 防火 墙 

无 元 余 组 件 防 火 墙 是 比较 普遍 的 一 种 防火 墙 ， 主 要 应 用 于 中 小 型 企业 。 无 宛 余 组 件 
的 单一 防火 墙 应 用 方案 如 图 4-21 所 示 。 


VPN 服 务 器 企业 内 部 网 络 
~ 
内 
由 
> R] 一 < 
Rs 


无 元 余 组 件 的 单 
一 防火 墙 


芭 到 国字 喜 季 


中 间 节 点 路 由 器 


图 4-21 无 元 余 组 件 的 内 部 单一 防火 墙 的 应 用 方案 
相对 于 后 面 即将 介绍 的 有 元 余 组 件 防火 墙 和 防火 墙 元 余 对 应 用 方案 ， 单 个 无 元 余 组 


第 4 章 网 络 安全 601 


件 的 防火 墙 方案 优点 主要 有 以 下 几 个 方面 。 

(1) 成 本 低 。 由 于 只 有 一 个 防火 墙 ， 所 以 硬件 成 本 和 许可 成 本 都 较 低 。 

(2) 管理 简单 。 管 理工 作 得 到 简化 ， 因 为 整个 站 点 或 企业 只 有 一 个 防火 墙 。 

(3) 单个 记录 源 。 所 有 通信 记录 操作 都 集中 在 一 台 设备 上 ， 便 于 管理 。 

有 优点 就 肯定 有 缺点 ， 无 元 余 的 单一 防火 墙 的 缺点 包括 以 下 几 个 方面 。 

(1) 单一 故障 点 。 因 为 防火 墙 还 用 来 隔离 网 络 ， 是 内 部 受 保护 网 络 与 其 他 网 络 的 唯 
一 出 /入 口 。 对 于 这 样 一 个 单一 无 元 余 的 防火 墙 方案 ， 显 然 隔离 网 络 之 间 的 出 /入 口 就 只 
是 单一 的 了 。 这 样 一 来 ， 入 站 或 出 站 访问 存在 单一 故障 点 ， 风 险 较 大 。 一 旦 防火 墙 出 现 
了 故障 ， 则 整个 企业 网 络 都 将 受到 严重 影响 ， 特 别 是 对 于 那些 受 防 火 墙 保护 的 网 段 。 

(2) 可 能 的 通信 瓶颈 。 原 因 还 是 一 样 ， 因 为 单一 无 元 余 防 火 墙 方案 中 ， 隔 离 网 络 间 
只 存在 一 个 出 /入 口 ， 这样 单 一 防火 墙 可 能 是 一 个 通信 瓶颈 ， 当 然 最 终 还 是 取决 于 连接 的 
个 数 和 所 需 的 吞吐 量 。 所 以 在 选择 防火 墙 时 ， 一 定 要 注意 防火 墙 的 吞吐 量 要 与 所 部 署 位 
置 的 网 络 流量 相 适 应 。 

2) 具有 元 余 组 件 的 单一 防火 墙 

有 具有 元 余 组 件 的 单一 防火 墙 与 前 面 介绍 的 无 元 余 组 件 单一 防火 墙 相 比 唯一 的 区 别 
就 是 多 了 一 套 元 余 的 组 件 ， 具 有 容错 功能 ， 提 高 了 可 用 性 。 有 元 余 组 件 单一 防火 墙 方案 
如 图 4-22 所 示 。 


VPN 服 务 器 企业 内 部 网 络 


二 SS 村 


有 袖 余 组 件 的 音 
O 防火 墙 


Web 服 务 器 


兴 到 国信 后生 
赣 准 党 开 豆 


中 同 节点 路 由 器 


图 4-22 ”有 元 余 组 件 的 内 部 防火 墙 的 应 用 方案 


有 宛 余 组 件 的 单一 防火 墙 具有 一 些 基 本 的 元 余 组件 ， 如 电源 、 风 扇 等 ， 所 以 相 比 无 
宛 余 组 件 的 防火 墙 来 说 ， 可 用 性 有 了 一 定 程度 的 提高 。 尽 管 增加 了 一 些 元 余 组 件 ， 但 这 
类 组 件 的 成 本 也 不 高 。 具 有 元 余 组 件 的 单一 防火 墙 方案 的 缺点 与 无 元 余 组 件 的 单一 防火 
墙 方案 基本 一 样 ， 在 此 不 再 描述 。 

3) 容错 防火 墙 集 一 一 防火 墙 元 余 对 

容错 防火 墙 集 包括 一 种 使 每 个 防火 墙 成 为 双 工 的 机 制 ， 如 图 4-23 所 示 。 
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图 4-23 ”容错 防火 墙 集 的 应 用 结构 


容错 防火 墙 集 的 优点 主要 包括 以 下 几 个 方面 。 

(1) 容错 。 使 用 成 对 的 服务 器 或 者 设备 有 助 于 提供 所 需 级 别 的 容错 能 力 ， 使 整个 防 
火 墙 系统 的 可 用 性 得 到 极 大 提高 。 

(2) 集中 通信 日 志 。 由 于 两 个 防火 墙 或 者 其 中 的 一 个 可 能 正在 记录 其 他 合作 者 或 菜 
个 单独 服务 器 活动 时 的 通信 记录 ， 所 以 通信 日 志 变 得 更 可 靠 了 。 

(3) 可 能 的 状态 共享 。 根 据 产品 的 不 同 ， 集 中 式 的 防火 墙 可 能 可 以 共享 会 话 状态 。 

容错 防火 墙 集 在 具有 以 上 优点 的 同时 , 也 带 来 了 一 些 不 足 , 主要 包括 以 下 几 个 方面 。 

(1) 复杂 程度 增加 。 由 于 网 络 通信 的 多 路 径 性 质 ， 这 一 类 型 的 解决 方案 的 网 络 配 置 
和 支持 将 更 复杂 ， 需 要 比较 专业 的 网 络 工程 师 才能 胜任 。 这 就 要 求 防火 墙 提供 商 能 提供 
全 面 到 位 的 服务 ， 包 括 售 前 /后 培训 。 

(2) 配置 更 复杂 。 因为 同时 有 两 个 或 两 个 以 上 防火 墙 负责 同一 部 分 网 络 的 安全 防护 ， 
所 以 必须 确保 各 组 防火 墙 规则 的 配置 都 正确 ， 否 则 可 能 会 导致 安全 漏洞 以 及 支持 问题 。 

(3) 成 本 增加 。 当 至 少 需要 两 个 防火 墙 时 ， 成 本 将 超过 单一 防火 墙 集 。 

5. 内 部 容错 防火 墙 集 配置 

在 实现 内 部 容错 防火 墙 集 (经常 称 为 群集 ) 时 ， 有 “主动 /被 动 内 部 容错 防火 墙 集 ” 
和 “主动 /主动 内 部 容错 防火 墙 集 ” 两 种 不 同 配置 方法 ， 下 面 分 别 予 以 介绍 。 

1) 主动 /被 动 内 部 容错 防火 墙 集 

在 主动 /被 动 内 部 容错 防火 墙 集中 ， 一 个 设备 (也 称 为 活动 节点 ) 将 处 理 所 有 通信 ， 
而 另 一 个 设备 〈 被 动 节点 ) 既 不 转发 通信 也 不 执行 筛选 ， 只 是 保持 活动 ， 监 视 主 动 节点 
的 状态 。 这 类 似 于 服务 器 双 机 容错 方案 中 的 “ 冷 备份 ”方式 。 

通常 ， 在 这 种 容错 方式 中 ， 每 个 节点 都 传达 其 可 用 性 和 到 其 伙伴 节点 的 连接 状态 。 
此 通信 经 常 称 为 检测 信号 (服务 器 容错 中 称 之 为 “心跳 ”)， 每 个 系统 每 秒 向 其 他 系统 发 
几 次 检测 信号 以 确保 这 些 连接 正在 由 伙伴 节点 进行 处 理 。 如 果 被 动 节点 没有 接收 到 来 自 
主动 节点 的 检测 信号 的 时 间 超 过 特定 的 ， 或 者 由 用 户 设 定 的 间隔 ， 说 明 主动 节点 已 经 失 
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败 ， 然 后 被 动 节点 将 承担 主动 节点 的 角色 。 图 4-24 描述 了 主动 /被 动 内 部 容错 防火 墙 集 
工作 机 制 。 

主动 /被 动 内 部 容错 防火 墙 集 的 优点 包括 以 下 几 个 方面 。 

(1) 配置 简单 。 此 配置 的 设置 比 后 面 将 要 介绍 的 “主动 /主动 内 部 容错 防火 墙 集 ” 方 
式 要 简单 ， 因 为 任何 时 候 只 有 一 个 网 络 路 径 是 活动 的 。 

(2) 可 预测 故障 转移 负载 。 因 为 在 故障 转移 时 ， 整 个 通信 和 负载 将 切换 到 被 动 节点 上 ， 
因此 需要 被 动 节点 管理 的 通信 可 以 很 容易 地 进行 规划 。 

主动 /被 动容 错 防 火 墙 集 的 缺点 则 是 所 有 冷 备份 方式 通 有 的 ， 那 就 是 低 利用 率 ， 因 为 
在 正常 工作 和 不 增加 吞吐 量 期 间 ， 被 动 节点 对 网 络 不 提供 任何 有 用 的 功能 ， 在 投资 上 是 
一 种 浪费 。 


检测 信号 通信 


图 4-24 主动/ 被动 内 部 容错 防火 墙 集 的 工作 机 制 


2) 主动 /主动 内 部 容错 防火 墙 集 

在 主动 /主动 内 部 容错 防火 墙 集 中 , 两 个 或 多 个 节点 主动 侦 听 发 送 到 每 个 节点 共享 的 
虚拟 IP 地 址 的 所 有 请 求 ， 与 服务 器 双 机 容错 方案 中 的 “ 热 备 份 ”类 似 。 

在 这 种 容错 方式 中 ， 负 载 将 通过 容错 机 制 唯一 使 用 的 算法 或 者 通过 基于 静态 用 户 的 
配置 在 节点 之 间 进 行 分 布 。 无 论 使 用 哪 种 方法 ， 结 果 都 是 每 个 节点 主动 地 筛选 不 同 的 通 
信 。 在 一 个 节点 失败 的 事件 中 , 仍 存活 的 节点 将 分 发 已 失败 的 节点 曾 承 担 的 负载 的 处 理 。 
4-25 描述 了 主动 /主动 容错 防火 墙 集 的 工作 机 制 。 

主动 /主动 内 部 容错 防火 墙 集 的 优点 包括 以 下 几 个 方面 。 

(1) 效率 高 。 由 于 所 有 防火 墙 都 向 网 络 提供 服务 ， 因 此 它们 的 利用 率 更 高 。 

(2) 吞吐 量 大 。 在 正常 操作 期 间 ， 与 “主动 /被 动 内 部 容错 防火 墙 集 ”配置 相 比 ， 此 
配置 可 以 处 理 更 高 级 别 的 通信 量 ， 因 为 所 有 的 防火 墙 可 以 同时 向 网 络 提供 服务 。 
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图 4-25 ”主动 /主动 内 部 容错 防火 墙 集 的 工作 机 制 


主动 /主动 容错 防火 墙 集 的 缺点 包括 以 下 几 个 方面 。 

(1) 可 能 超 负荷 。 如 果 一 个 节点 发 生 故障 ， 剩 余 节 点 上 的 硬件 资源 可 能 不 足以 处 理 
整体 的 吞吐 量 要 求 。 相 应 地 对 此 进行 规划 ， 了 解 由 于 在 一 个 节点 失败 时 ， 仍 存活 的 节点 
将 承担 附加 的 工作 量 ， 由 此 可 能 会 导致 性 能 下 降 ， 这 很 重要 。 

(2) 复杂 程度 增加 。 由 于 网 络 通信 可 以 通过 多 个 路 由 ， 因 此 网 络 配置 和 故障 排除 可 
能 更 为 复杂 。 

6. 内 部 防火 墙 系统 设计 的 其 他 因素 要 求 

在 前 面 对 内 部 防火 墙 系统 设计 的 可 用 性 方面 的 要 求 作 了 详细 介绍 。 除 此 之 外 ， 内 部 
防火 墙 系统 设计 还 需要 考虑 许多 其 他 因素 , 如 安全 性 、 可 伸缩 性 (也 就 是 通常 所 说 的 “可 
扩展 性 ”)、 整 合 能 力 和 所 支持 的 标准 等 。 下 面 分 别 予 以 介绍 。 

1) 安全 性 

防火 墙 产品 的 安全 性 极为 重要 。 虽 然 没 有 防火 墙 安全 性 的 行业 标准 ， 但 是 与 供应 商 
无 关 的 国际 计算 机 安全 协会 (ICSA) 正在 进行 一 个 认证 计划 ， 旨 在 测试 已 面市 的 防火 墙 
产品 的 安全 性 。ICSA 将 对 现在 市 场 上 可 用 的 大 量 防 火 墙 产品 进行 测试 。 

必须 确保 防火 墙 能 够 达到 所 需 的 安全 标准 , 实现 此 目标 的 一 种 方式 是 选择 达到 ICSA 
认证 的 防火 墙 。 此 外 ,应 该 保持 有 选择 防火 墙 的 跟踪 记录 。Intermet 上 有 一 些 安全 漏洞 数 
据 库 ， 应 当 尽 早 查看 这 些 数据 库 ， 以 获得 有 关 正 在 考虑 购买 的 产品 的 漏洞 信息 。 除 了 确 
定 要 购买 的 产品 的 漏洞 数量 和 严重 程度 外 , 还 应 评估 供应 商 对 已 暴露 的 漏洞 的 应 对 措施 。 

2) 可 伸缩 性 

防火 墙 的 可 伸缩 性 主要 由 所 使 用 的 设备 的 性 能 特征 决定 。 选 择 一 种 调整 以 满足 实际 
应 用 的 防火 墙 是 明智 的 。 有 两 种 达到 可 伸缩 性 的 基本 方式 。 
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(1) 垂直 扩展 (向 上 扩展 )。 所 谓 “ 向 上 扩展 ”， 是 指 通 过 增加 单一 设备 的 硬件 配置 
数量 等 手段 达到 的 扩展 。 无 论 防火 墙 是 硬件 设备 还 是 在 服务 器 上 运行 的 软件 解决 方案 ， 
通过 增加 内 存 数量 、CPU 处 理 能 力 以 及 网 络 接口 的 吞吐 量 都 可 以 获得 各 种 不 同 程度 的 可 
伸缩 性 。 但 是 ， 就 可 以 垂直 伸缩 的 程度 来 说 ， 每 个 设备 或 服务 器 都 有 一 定 的 上 限 。 例 如 ， 
如 果 购 买 了 一 个 具有 4 个 CPU 插 槽 的 服务 器 并 且 先 使 用 了 两 个 ， 那 么 仅 可 再 添加 两 个 
CPU。 

(2) 水 平 扩展 (向 外 扩展 )。 所 谓 “ 向 外 扩展 ”， 是 指 通 过 硬件 性 能 提高 或 者 多 个 不 
同 设备 的 群集 连接 等 手段 实现 的 扩展 。 当 服务 器 垂直 方向 上 的 扩展 到 达 极 限时 ， 则 需要 
进行 水 平 扩展 。 大 多 数 防火 墙 〈 基 于 硬件 的 和 基于 软件 的 ) 都 可 以 通过 使 用 某 种 形式 的 
负载 平衡 来 降低 负载 。 在 这 种 情况 下 ， 将 多 个 服务 器 组 成 一 个 群集 ， 对 于 网 络 上 的 客户 
端 来 说 ， 它 们 就 像 是 一 个 服务 器 。 

增加 硬件 防火 墙 容量 可 能 很 难 。 但 是 ， 一 些 硬件 防火 墙 制造 商 提供 了 减少 负载 的 解 
决 方案 ， 可 以 将 设备 进行 堆 倒 ， 使 之 作为 单个 、 负 载 平衡 的 单元 运行 。 而 一 些 基 于 软件 
的 防火 墙 设计 为 通过 使 用 多 个 处 理 器 来 增加 容量 。 

多 重 处 理 是 由 基础 操作 系统 控制 的 ， 防 火 墙 软件 不 需要 了 解 附加 的 处 理 器 ， 除 非 防 
火 墙 软件 可 以 在 多 任务 方式 下 操作 ， 和 否则 可 能 无 法 实现 多 个 处 理 器 的 全 部 优势 。 这 种 方 
法 允许 在 单一 或 元 余 设 备 上 进行 伸缩 ， 通 常 必须 符合 在 制造 时 内 置 的 硬件 限制 。 大 多 数 
设备 类 防火 墙 是 按 设 备 可 以 处 理 的 并 发 连接 的 个 数 来 分 类 的 。 如 果 连 接 要 求 超过 了 设备 
的 固定 比例 的 模型 可 用 的 连接 ， 硬 件 设备 经 常 需要 进行 替换。 

如 前 所 述 ， 容 错 可 以 内 置 在 防火 墙 服务 器 的 操作 系统 中 。 对 于 硬件 防火 墙 而 言 ， 要 
实现 容错 功能 则 可 能 要 花费 额外 的 成 本 。 

3) 整合 

合并 意味 着 将 防火 墙 服务 合并 到 另 一 个 设备 中 ， 或 者 将 其 他 服务 合并 到 此 防火 墙 
中 。 合 并 的 好 处 有 以 下 几 个 方面 。 

(1) 较 低 的 购买 价格 。 例 如 ， 在 路 由 器 中 通过 将 防火 墙 服务 合并 到 另 一 个 服务 中 ， 
节省 了 硬件 设备 的 成 本 ， 虽 然 仍 然 必 须 购买 防火 墙 软件 。 同 样 ， 如 果 可 以 将 其 他 服务 合 
并 到 防火 墙 中 ， 就 可 以 节省 附加 硬件 的 成 本 。 

(2) 减少 库存 和 管理 成 本 。 硬 件 设备 数目 的 减少 可 以 减少 操作 成 本 。 由 于 需要 较 少 
的 硬件 升级 ， 布 线 已 经 简化 ， 管 理 变 得 更 简单 。 

(3) 更 高 的 性 能 。 根据 所 合并 的 内 容 ， 可 能 会 提升 性 能 。 例 如 ， 将 Web 服务 器 缓 
存 合并 到 防火 墙 中 可 能 会 减少 附加 设备 , 并且 服务 将 能 高 速 对 话 而 不 用 通过 以 太 网 电缆 。 

在 防火 墙 系统 中 ， 可 以 采取 的 合并 方式 包括 以 下 两 种 。 

(1) 将 防火 墙 服务 添加 到 路 由 器 中 。 大 多 数 路 由 器 可 以 将 防火 墙 服务 合并 到 其 中 。 
此 防火 墙 服务 的 功能 在 低 成 本 路 由 器 中 可 能 很 简单 ， 但 是 高 端 路 由 器 通常 具有 非常 有 用 
的 防火 墙 服务 。 拥 有 一 个 将 内 部 网 络 中 的 以 太 网 分 段 连接 在 一 起 的 路 由 器 ， 通 过 将 防火 
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墙 合并 到 其 中 ， 可 以 节省 成 本 。 即 使 实现 了 特定 的 防火 墙 设备 ， 但 是 在 路 由 器 中 实现 一 
些 防火 墙 功能 仍然 可 能 有 助 于 限制 内 部 入 侵 。 

(2) 将 防火 墙 服务 添加 到 内 部 交换 机 中 。 可 以 将 使 用 的 内 部 交换 机 作为 一 个 单元 添 
加 到 内 部 防火 墙 中 ， 从 而 减少 成 本 并 且 提 高 性 能 。 在 考虑 将 其 他 设备 合并 到 提供 防火 墙 
服务 的 相同 服务 器 或 设备 中 时 ， 必 须 确 保 使 用 给 定 的 服务 不 会 损害 防火 墙 的 可 用 性 、 安 
全 性 或 者 可 管理 性 。 性 能 方面 的 考虑 也 很 重要 ， 因 为 由 附加 的 服务 生成 的 负载 将 降低 防 
火 墙 服务 的 性 能 。 

将 服务 合并 到 驻 留 防火 墙 服务 的 相同 设备 或 服务 器 中 的 替换 方法 ， 是 将 防火 墙 硬件 
设备 作为 一 个 单元 合并 到 交换 机 中 。 这 一 方法 的 成 本 通常 比 各 种 类 型 的 独立 防火 墙 要 低 ， 
并 可 以 利用 交换 机 的 可 用 性 功能 ， 如 双 电 源 。 这 种 配置 也 较 容易 管理 ， 因 为 它 不 涉及 单 
独 的 设备 。 此 外 ,使 用 这 种 解决 方案 的 系统 通常 运行 较 快 ， 因为 它 使 用 交换 机 中 的 总 线 ， 
比 使 用 外 部 线路 更 快 。 

4) 标准 的 支持 

使 用 Intemet 协议 版 本 4 (IPv4) 的 大 多 数 Intemet 协议 可 以 由 防火 墙 来 进行 保护 。 
这 包括 较 低 级 别 的 协议 (如 TCP 和 UDP) 和 较 高 级 别 的 协议 (如 HTTP、SMTP 和 FTP)。 
应 该 检查 在 考虑 之 中 的 防火 墙 产品 以 确保 它 支 持 所 需 的 通信 类 型 。 某 些 防火 墙 还 可 以 解 
释 GRE， 这 是 某 些 VPN 实现 中 使 用 的 点 对 点 隧道 协议 (PPTP) 的 封装 协议 。 

一 些 防火 墙 具 有 适用 于 协议 如 HITP、SSL、DNS、FTP、SOCKSv4、RPC、SMTP、 
H.323 和 邮局 协议 〈POP) 的 内 置 应 用 程序 层 筛选 器 。 即 使 当前 正在 使 用 耻 v4， 还 应 该 
考虑 TCP/IP 协议 和 IPv6 的 将 来 ， 以 及 这 是 否 应 该 是 一 个 对 所 有 防火 墙 的 强制 要 求 。 

以 上 介绍 了 内 部 网 络 防火 墙 产品 的 成 功 选择 实际 过 程 。 本 过 程 覆 盖 了 防火 墙 设计 的 
所 有 方面 ， 包 括 确定 一 个 解决 方案 所 需 的 各 种 评估 和 分 类 过 程 。 但 事实 上 没有 任何 防火 
墙 是 百分之百 安全 的 。 本 节 中 简要 列 出 的 防火 墙 策略 和 设计 过 程 只 应 被 看 作 是 整个 安全 
策略 的 一 部 分 。 如 果 在 网 络 的 其 他 部 分 中 存在 弱点 ， 那 么 强大 的 防火 墙 的 价值 将 是 有 限 
的 。 必 须 将 安全 策略 应 用 到 网 络 的 每 个 组 件 中 ， 并 且 必 须 为 每 个 组 件 定义 针对 环境 中 固 
有 风险 的 安全 策略 。 


4.3.6 “外围 防火 墙 系统 应 用 设计 


本 节 中 介绍 的 设计 准则 将 从 一 些 主 要 因素 进行 考虑 (如 发 展 和 成 本 ), 来 帮助 用 户 选 
择 所 需 的 防火 墙 功能 。 本 节 还 将 介绍 一 些 有 关 最 具 破坏 性 的 入 侵 的 信息 ， 以 便 用 户 可 以 
确定 环境 中 最 有 可 能 发 生 什么 情况 ， 以 及 确定 阻止 入 侵 的 方法 ， 这 些 方法 不 只 是 通过 安 
装 防火 墙 ， 还 包括 其 他 一 些 方法 ， 如 加 强 服务 器 配置 或 者 与 mnternet 服务 提供 商 〈ISP) 
一 起 就 管理 问题 进行 讨论 。 

来 自 外 部 用 户 和 内 部 用 户 的 网 络 入 侵 日 益 频繁 ， 必 须 建立 保护 网 络 不 会 受到 这 些 入 
侵 破坏 的 机 制 。 虽 然 防火 墙 可 以 为 网 络 提供 保护 ， 但 是 它 同 时 会 耗费 资金 ， 并 且 会 对 通 
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信 产 生 障碍 ， 因 此 应 该 尽 可 能 寻找 最 经 济 、 效 率 最 高 的 防火 墙 。 设 置 外 围 防火 墙 是 为 了 
满足 组 织 边界 之 外 用 户 的 需要 。 这 些 用 户 可 能 包括 以 下 几 种 类 型 。 

(1) 信任 。 组 织 的 员工 ， 如 各 个 分 支 办 事 处 工作 人 员 或 者 在 家 工作 的 用 户 。 

(2) 部 分 信任 。 组 织 的 业务 合作 伙伴 ， 这 类 用 户 的 信任 级 别 比 不 受信 任 的 用 户 高 。 
但 是 ， 这 类 用 户 通常 又 比 组 织 的 员工 低 一 个 信任 级 别 。 

(3) 不 信任 。 例 如 ， 组 织 公 共 网 站 的 用 户 。 

要 考虑 的 重要 一 点 是 ， 外 围 防火 墙 特别 容易 受到 外 部 攻击 ， 因 为 入 侵 者 必须 破坏 该 
防火 墙 才能 进一步 进入 网 络 。 因 此 ， 它 将 成 为 明显 的 攻击 目标 。 

边界 位 置 中 使 用 的 防火 墙 是 通 向 外 部 世界 的 通道 。 在 很 多 大 型 组 织 中 ， 此 处 实现 的 
防火 墙 类 别 通常 是 高 端 硬 件 防火 墙 或 者 服务 器 防火 墙 ， 但 是 某 些 组 织 使 用 的 是 路 由 器 防 
火 墙 。 选 择 某 类 防火 墙 用 作 外 围 防 火 墙 时 ， 应 该 考虑 一 些 问题 。 表 4-7 重点 列 出 了 这 些 


问题 。 


表 4-7 
考虑 事项 


安全 管理 员 指 定 的 必需 防火 墙 功能 


该 设备 是 一 个 专门 的 物理 设备 并 提 
供 其 他 功能 , 还 是 物理 设备 上 的 一 个 
逻辑 防火 墙 


外 围 防火 墙 类 别 选择 注意 事项 

在 此 位 置 实现 的 典型 防火 墙 特征 
这 是 一 个 必需 安全 性 级 别 与 功能 成 本 , 以 及 增加 安全 性 可 能 导 
致 的 性 能 下 降 之 间 的 平衡 问题 。 虽然 很 多 组 织 想 通 过 外 围 防火 
墙 得 到 最 高 的 安全 性 , 但 有 些 组 织 不 想 影响 性 能 。 例 如， 涉及 
电子 商务 的 高 容量 网 站 , 在 通过 使 用 静态 数据 包 筛选 器 而 满足 
使 用 应 用 程序 层 筛选 而 获取 较 高 级 别 吞 吐 量 的 基础 上 , 可 能 多 
许 较 低级 别 的 安全 性 
作为 Internet 和 企业 网 络 之 间 的 通道 ， 外 围 防 火 墙 通常 实现 为 
专用 的 设备 , 这 样 是 为 了 在 该 设备 被 侵入 时 将 攻击 的 范围 和 内 
部 网 络 的 访问 性 降 到 最 低 
通常 ， 需 要 使 用 某 些 形式 的 记录 , 一 般 还 同时 需要 一 种 事件 监 


4 结构 决定 了 i 2 
tt 构 决定 了 设备 的 | 视 机 制 。 为 了 防止 恶意 用 户 远程 管理 该 设备 ,此 处 可 能 不 允许 

远程 管理 ， 而 只 允许 本 地 管理 

这 些 要 求 会 根据 每 个 环境 的 不 同 而 发 生变 化 , 但 是 设备 或 者 服 
ee 务 器 中 的 硬件 处 理 能 力 以 及 所 使 用 的 防火 墙 功能 将 决定 可 用 
的 网 络 整体 大 吐 量 

一 一 下 

作为 大 型 组 织 通 往 iemet 的 通道, 通常 需要 高 级 别 的 可 用 性 ， 


1. 外 围 防火 墙 规则 


尤其 是 当 外 围 防 火 墙 用 于 保护 一 个 产生 营业 收入 的 网 站 时 


通常 情况 下 ， 外 围 防火 墙 需要 以 默认 的 形式 或 者 通过 配置 来 遵循 下 列 规则 。 
(1) 拒绝 所 有 通信 ， 除 非 显示 允许 的 通信 。 

(2) 阻止 声明 具有 内 部 或 者 外 围 网 络 源 地 址 的 外 来 数据 包 。 

(3) 阻止 声明 具有 外 部 源 人 P 地 址 的 外 出 数据 包 〈 通 信 应 该 只 源 自 堡垒 主机 )。 
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(4) 允许 从 DNS 解析 程序 到 Intemet 上 的 DNS 服务 器 的 基于 UDP 的 DNS 查询 和 


(5) 允许 从 Intemet DNS 服务 器 到 DNS 解析 程序 的 基于 UDP 的 DNS 查询 和 应 答 。 

(6) 允许 基于 UDP 的 外 部 客户 端 查询 DNS 解析 程序 并 提供 应 答 。 

(7) 允许 从 Intemet DNS 服务 器 到 DNS 解析 程序 的 基于 TCP 的 DNS 查询 和 应 答 。 

(8) 允许 从 出 站 SMTP 堡垒 主机 到 Intemet 的 外 出 邮件 。 

(9) 允许 外 来 邮件 从 Internet 到 达 入 站 SMTP 堡 拿 主 机 。 

(10) 允许 从 代理 发 起 的 通信 从 代理 服务 器 到 达 Intemet。 

(11) 允许 代理 应 答 从 Internet 定向 到 外 围 的 代理 服务 器 。 

2. 外 围 防火 墙 系统 的 可 用 性 要 求 

要 增加 外 围 防火 墙 的 可 用 性 ， 可 以 将 其 实现 为 带 有 宛 余 组 件 的 单个 防火 墙 设备 ， 或 
者 实现 为 外 围 容 错 防火 墙 集 ， 其 中 结合 一 些 类 型 的 故障 转移 和 负载 平衡 机 制 。 这 些 选 项 
的 优点 和 缺点 在 下 面 的 内 容 中 讲述 。 

(1) 单个 无 元 余 组 件 外 围 防火 墙 。 单 个 无 元 余 组 件 的 外 围 防火 墙 网 络 结构 如 图 4-26 
所 示 。, 单 个 无 元 余 组 件 外 围 防 火 墙 的 优点 和 缺点 与 4.3.5 节 介绍 的 单个 无 元 余 组 件 内 部 防 
火 墙 相 似 ， 在 此 不 再 獒 述 。 


无 元 余 组 件 ”交换 机 


外 围 防火 墙 


边界 路 由 器 


图 4-26 单个 无 元 余 组 件 的 外 围 防火 墙 应 用 结构 


(2) 单个 带 元 余 组 件 外 围 防火 墙 。 单 个 带 元 余 组 件 的 外 围 防火 墙 应 用 结构 如 图 4-27 
所 示 。 单 个 带 元 余 组 件 外 围 防火 墙 的 优点 和 缺点 也 与 4.3.5 节 介绍 的 单个 带 元 余 组 件 内 部 
防火 墙 相似 ， 不 再 缆 述 。 


(加 -站 他 


边界 路 由 器 生生 和 全 交换 机 


图 4-27 单个 带 元 余 组 件 的 外 围 防火 墙 应 用 结构 
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(3) 外 围 容错 防火 墙 集 。 外围 容错 防火 墙 集 包 括 为 每 个 防火 墙 配置 备用 装置 的 机 制 ， 
如 图 4-28 所 示 。 


容错 和 /或 负载 平衡 机 制 


图 4-28 外围 容错 防火 墙 集 应 用 结构 


外 围 容错 防火 墙 集 的 优点 和 缺点 也 与 4.3.5 节 介绍 的 内 部 容错 防火 墙 集 的 优 、 缺 点 
相似 , 不 再 次 述 。 有 关 两 种 不 同 的 容错 方案 配置 也 与 内 部 容错 防火 墙 集 类 似 , 不 再 玖 述 ， 
至 于 外 围 防火 墙 系统 设计 的 其 他 方面 要 求 参见 4.3.5 节 的 内 容 即 可 。 


4.3.7 防火墙 与 DoS/DDoS 攻击 


DoS/DDoS 攻击 是 一 种 非常 有 效 的 进攻 方式 ， 能 够 利用 大 量 的 服务 请 求 来 占用 过 多 
的 服务 资源 ， 从 而 使 合法 用 户 无 法 得 到 正常 服务 。 常 见 的 DoS/DDoS 攻击 可 以 分 为 两 大 
类 : 一 类 是 针对 系统 或 协议 漏洞 的 攻击 ， 如 Ping of Death、TearDrop 等 ， 例 如 Teardrop 
是 基于 UDP 的 病态 分 片 数 据 包 的 攻击 方法 。 其 工作 原理 是 向 被 攻击 者 发 送 多 个 分 片 的 
IP 包 (IP 分 片 数 据 包 中 包括 该 分 片 数据 包 属 于 哪个 数据 包 以 及 在 数据 包 中 的 位 置 等 信 
息 ), 某 些 操 作 系 统 收 到 含有 重合 偏 移 的 伪造 分 片 数 据 包 时 将 会 出 现 系 统 崩 演 、 重启 等 现 
象 。Teardrop 攻击 利用 UDP 包 重 组 时 重 登 偏 移 〈 假 设 数据 包 中 第 二 片 IP 包 的 偏 移 量 小 
于 第 一 片 结束 的 位 移 ， 而 且 算 上 第 二 片 IP 包 的 Data， 也 未 超过 第 一 片 的 尾部 ， 这 就 是 
重 释 现 象 ) 的 漏洞 对 系统 主机 发 动 拒绝 服务 攻击 ， 最 终 导致 系统 宕 机 。 对 于 Windows 系 
统 会 导致 蓝屏 死机 ， 并 显示 STOP 0x0000000A 错误 。 另 一 类 攻击 是 消耗 计算 机 或 网 络 中 
匮乏 的 `\ 有 限 的 资源 ,如 占用 大 量 网 络 带 宽 。 这 类 攻击 比较 典型 的 如 UDP flood、SYN flood 
和 ICMP flood 等 ，SYN Flood 攻击 以 多 个 随机 的 源 主机 地 址 向 目的 主机 发 送 SYN 包 ， 
而 在 收 到 目的 主机 的 SYN ACK 后 并 不 回应 ， 这 样 ， 目 的 主机 就 为 这 些 源 主机 建立 了 大 
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量 的 连接 队列 ， 而 且 由 于 没有 收 到 ACK 一 直 维 护 着 这 些 队列 ， 造 成 了 系统 资源 的 大 量 
消耗 而 不 能 向 正常 请 求 提供 服务 。 

1. 防火 墙 抵御 DoS/DDoS 攻击 原理 

从 现在 和 未 来 看 ， 防 火 墙 都 是 抵御 DoS/DDoS 攻击 的 重要 组 成 部 分 ， 这 是 由 防火 墙 
在 网 络 拓扑 的 位 置 和 扮演 的 角色 决定 的 。 下 面 以 港湾 网 络 有 限 公司 基于 NP (Net 
Processor， 网 络 处 理 器 ) 架构 开发 的 SmartHammer 系列 防火 墙 为 例 说 明 其 在 各 种 网 络 环 
境 中 对 DoS/DDos 攻击 的 有 效 防范 。 

1) 基于 状态 的 资源 控制 ， 保 护 防 火 墙 资源 

港湾 网 络 SmartHammer 防火 墙 支持 卫 Inspect 功能 ， 防 火 墙 会 对 进入 防火 墙 的 资料 
做 严格 的 检查 ， 各 种 针对 系统 漏洞 的 攻击 包 如 Ping of Death、TearDrop 等 ， 会 自动 被 系 
统 过 滤 掉 ， 从 而 保护 了 网 络 免 受 来 自 于 外 部 的 漏洞 攻击 。 对 防火 墙 产品 来 说 ， 资 源 是 十 
分 宝贵 的 ， 当 受到 外 来 的 DDoS 攻击 时 ， 系 统 内 部 的 资源 全 都 被 攻击 流 所 占用 ， 此 时 正 
常 的 资料 报 文 肯定 会 受到 影响 。SmartHammer 基于 状态 的 资源 控制 会 自动 监视 网 络 内 所 
有 的 连接 状态 ， 当 有 连接 长 时 间 未 得 到 应 答 就 会 处 于 半 连 接 的 状态 ， 浪 费 系 统 资源 ， 当 
系统 内 的 半 连 接 超 过 正常 的 范围 时 ， 就 有 可 能 是 遭受 到 了 攻击 。SmartHammer 防火 墙 基 
于 状态 的 资源 控制 能 有 效 防止 此 类 情况 ， 其 采用 的 方法 主要 包括 以 下 几 种 。 

(1) 控制 连接 、 与 半 连 的 超时 时 间 ， 必 要 时 ， 可 以 缩短 半 连 接 的 超时 时 间 ， 加 速 半 
连接 的 老化 。 

(2) 限制 系统 各 个 协议 的 最 大 连接 值 ， 保 证 协议 的 连接 总 数 不 超 过 系统 限制 ， 在 达 
到 连接 上 限 后 删除 新 建 的 连接 。 

(3) 限制 系统 符合 条 件 源 /目的 主机 连接 数量 。 

(4) 针对 源 或 目的 瑟 地 址 进行 P 流量 控制 ,SmartHammer 防火 墙 卫 mspect 模块 可 
以 限制 每 个 他 地 址 使 用 的 资源 , 用户 在 资源 控制 的 范围 内 时 , 使 用 并 不 会 受到 任何 影响 ， 
但 当 用 户 感染 蠕虫 病毒 或 发 送 攻 击 报 文 等 情况 时 , 针对 流 的 资源 控制 可 以 限制 每 个 他 地 
址 发 起 的 连接 数目 ， 超 过 限制 的 连接 将 被 丢弃 。 这 种 做 法 可 以 有 效 抑制 病毒 产生 攻击 的 
效果 ， 和 避免 其 他 正常 使 用 的 用 户 受到 影响 。 

(5) 设置 协议 流 门 限 值 。 单 位 时 间 内 如 果 穿 过 防火 墙 的 “同类 ”数据 流 超过 门限 值 
后 ， 可 以 设 定 对 该 种 类 的 数据 流 进行 阻 断 ， 这 对 于 防止 耻 、ICMP 和 UDP 等 非 连接 的 
Flooding 攻击 具有 很 好 的 防御 效果 。 

2) 智能 TCP 代理 有 效 防范 SYN Flood 

SYN Flood 是 DDoS 攻击 中 危害 性 最 强 ， 也 是 最 难 防范 的 一 种 。 这 种 攻击 利用 TCP 
协议 缺陷 ， 发 送 大 量 伪 造 的 TCP 连接 请 求 ， 从 而 使 得 被 攻击 方 资源 耗 尽 (CPU 满 负 荷 
或 内 存 不 足 )。SmartHammer 系列 防火 墙 能 够 利用 智能 TCP 代理 技术 , 判断 连接 合法 性 ， 
保护 网 络 资源 。 

防火 墙 工 作 时 ， 并 不 会 立即 开启 TCP 代理 〈 以 免 影 响 速度 )， 只 有 当 网 络 中 的 TCP 
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半 连 接 达 到 系统 设置 的 TCP 代理 启动 警戒 线 时 , 正常 TCP Intercept 会 自动 启动 , 并 且 当 
系统 的 TCP 半 连 接 超过 系统 TCP Intercept 高 警戒 线 时 ,系统 进入 入 侵 模 式 , 此 时 新 连接 
会 覆盖 旧 的 TCP 连接 。 此 后 ， 系 统 全 连接 数 增多 ， 半 连接 数 减 少 ， 当 半 连 接 数 降 到 入 侵 
模式 低 警 戒 线 时 , 系统 退出 入 侵 模式 。 如果 此 时 攻击 停止 , 系统 半 连 接 数 量 逐 渐 降 到 TCP 
代理 启动 警戒 线 以 下 ， 智 能 TCP 代理 模块 停止 工作 。 通 过 智能 TCP 代理 可 以 有 效 防止 
SYN Flood 攻击 ， 保 证 网 络 资源 安全 。 

3) 利用 Netflow 对 DoS 攻击 和 病毒 进行 监测 

网 络 监 控 在 抵御 DDoS 攻击 中 有 重要 的 意义 。SmartHammer 防火 墙 支持 NetFlow 协 
议 ， 它 将 网 络 中 的 数据 包 以 流 的 方式 进行 记录 ， 并 封装 为 UDP 包 发 送 到 NetFlow 分 析 
器 上 ， 这 样 就 为 网 络 管理 、 流 量 分 析 和 监控 、 入 侵 检 测 等 提供 了 丰富 的 资料 来 源 。 
SmartHammer 防火 墙 可 以 在 不 影响 转发 性 能 的 同时 记录 、 发 送 NetFlow 信息 。 网 络 管理 
员 通 过 在 防火 墙 相 关 接 口 下 开启 NetFlow 采集 功能 ， 并 设置 NetFlow 输出 服务 器 地 址 ， 
就 可 以 利用 一 些 网 络 安全 管理 平台 对 接收 到 的 资料 进行 分 析 、 处 理 。 

(1) 利用 NetFlow 监视 网 络 流量 。 防 火 墙 可 以 有 效 地 抵御 DDoS 攻击 ， 但 当 攻 击 流 
数量 超过 一 定 程度 ， 已 经 完全 占据 网 络 带宽 时 ， 虽 然 防火 墙 已 经 通过 安全 策略 把 攻击 数 
据 包 丢弃 ,但 由 于 攻击 数据 包 已 经 占据 了 所 有 的 网 络 带 宽 ， 正 常 的 用 户 访问 依然 无 法 完 
成 。 此 时 网 络 的 流量 是 很 大 的 ，SmartHammer 防火 墙 可 以 利用 内 置 的 NetFlow 统计 分 析 
功能 ， 查 找 攻 击 流 的 数据 源 ， 并 上 报 上 级 ISP， 对 数据 流 分 流 或 导入 黑洞 路 由 。 此 外 ， 当 发 
现 网 络 流量 异常 时 ， 可 以 利用 Netflow 功能 有 效 地 查找 、 定 位 DDoS 攻击 的 来 源 。 

(2) 利用 NetFlow 监视 蠕虫 病毒 。 防 止 肾 虫 病毒 的 攻击 ， 重 要 的 是 防止 蠕虫 病毒 的 
扩散 ， 只 有 尽早 发 现 ， 才 可 以 迅速 采取 措施 有 效 阻 止 病毒 。 各 种 蠕虫 病毒 在 感染 了 系统 
后 ， 为 了 传播 自身 ， 会 主动 向 外 发 送 特定 的 数据 包 并 扫描 相关 端口 。 利 用 这 个 特性 ， 网 
络 管理 员 在 安全 管理 平台 上 通过 对 NetFlow 采集 的 数据 流 进行 分 析 ， 就 可 以 知道 哪些 主 
机 感染 了 病毒 ， 然 后 采取 相应 的 措施 。 

值得 指出 的 是 ， 防 火 墙 在 网 络 拓扑 中 的 位 置 对 抵御 攻击 也 有 很 大 影响 ， 通 常 盒 式 防 
火 墙 被 设计 放置 在 网 络 的 出 口 ， 这 种 情况 下 ， 虽 然 防火 墙 能 够 抵御 从 外 部 产生 的 攻击 ， 
但 一 旦 网 络 内 部 的 PC 通过 浏览 网 页 、 收 发 E-mail、 下 载 等 方式 感染 蠕虫 病毒 或 有 人 从 
内 部 发 起 恶意 攻击 时 ， 防 火 墙 是 没有 防护 能 力 的 。 

港湾 网 络 的 SmartHammer ESP-FW 防火 墙 模块 可 以 解决 此 类 问题 ，ESP-FW 是 港湾 
网 络 BigHammer6800 系列 交换 机 的 一 个 安全 模块 ， 它 继承 了 SmartHammer 盒 式 防火 墙 
的 相关 安全 特性 内 置 于 交换 机 中 ， 有 效 抵御 来 自 内 部 网 络 的 攻击 。 在 插入 了 防火 墙 模块 
后 ,交换 机 可 以 选择 将 相关 VLAN 加 入 防火 墙 中 ， 受 防火 墙 保护 。 以 VLAN 作为 保护 
对 象 的 另 一 大 优点 是 利于 网 络 扩展 ， 当 有 一 个 新 增 部 门 出 现时 ， 不 需要 再 增加 投资 就 可 
以 使 新 增 部 门 得 到 保护 ， 网 络 部 署 异 常 灵活 。 这 样 ， 当 内 部 网 络 中 出 现 异 常数 据 流 时 ， 
防火 墙 可 以 有 效 限制 该 数据 的 转发 ， 保 护 其 他 VLAN 不 受 影响 。 
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2. 防火 墙 抵御 DoS/DDoS 攻击 配置 示例 

下 面 以 港湾 的 SmartHammer 防火 墙 为 例 , 说 明 如 何 通过 配置 资源 控制 保护 内 部 网 络 
或 特定 主机 免 受 DoS/DDoS 攻击 。 

1) 资源 控制 的 配置 


ip inspect max 500000 // 系 统 总 的 连接 数 
ip inspect max 500000 tcp // 系 统 总 的 TCP 连接 数 
ip inspect max 100000 udp // 系 统 总 的 UDP 连接 数 


ip inspect maxincomplete high 20000 tcp //TCP 半 连 接 最 高 水 位 线 

ip inspect maxincomplete low 10000 tcp //TCP 半 连 接 最 低 水 位 线 

ip inspect one-minute high 20000 tcp //TCP 每 分 钟 半 连 接 最 高 水 位 线 
ip inspect one-minute low 10000 tcp //TCP 每 分 钟 半 连 接 最 低 水 位 线 
ip inspect idletime 3600 tcp //TCP 全 连接 超时 时 间 


当 TCP 半 连 接 达 到 最 高 水 位 线 时 , 防火 墙 开 始 清除 超过 的 半 连 接 , 一 直 清 到 最 低 水 
位 线 为 止 。TCP 每 分 钟 半 连 接 也 是 一 样 的 处 理 机 制 。 

2) 限制 主机 的 最 大 连接 数 

网 络 中 经 常会 出 现 一 些 病毒 , 感染 的 主机 会 自动 向 变换 地 址 的 目标 主机 发 送 TCP 连 
接 请 求 或 ICMP 报 文 ， 如 以 前 爆发 的 冲击 波及 其 变种 就 具有 类 似 的 特征 ， 通 过 限制 网 络 
内 主机 的 最 大 连接 数目 可 以 有 效 地 达到 防范 效果 。 


access-list 40 permit 192.168.0.0 255.255.0.0 // 定 义 访问 列表 40 的 地 址 范围 
ip inspect max flow 50 src list 40 


// 限 制 符合 条 件 的 主机 最 多 建立 50 个 连接 ， 超 过 这 个 数目 ， 新 的 连接 报 文 将 被 丢弃 


3) 适应 特殊 主机 的 需求 

网 络 内 部 可 能 会 存在 一 些 特殊 连接 需求 的 主机 ， 如 内 部 的 DNS 服务 器 或 一 些 部 门 的 代 
理 服务 器 等 ， 对 于 这 些 主机 它们 的 连接 请 求 数 一 般 会 超过 一 般 主机 ， 所 以 需要 对 这 些 特 
殊 的 主机 执行 特殊 的 流 限 制 。 

对 于 不 十 分 了 解 网 络 内 主机 构成 的 管理 员 来 说 , 不 断 地 通过 show ip inspect statistics 
flow 查看 网 络 内 主机 建立 连接 的 情况 是 一 种 比较 好 的 方式 ， 通 过 恰当 地 定义 网 络 主机 的 
连接 数量 ， 可 以 很 大 程度 地 防止 一 些 网 络 病毒 的 攻击 或 DoS 攻击 。 


access-list 11 permit host 10.1.0.4 

access-list 12 permit host 10.1.1.1 

access-list 13 permit 10.0.0.0 255.0.0.0 

ip inspect max flow 1000 src 1list 11 // 设 置 主机 10.1.0.4 的 最 大 连接 为 1000 
ip inspect max flow 10000 src 1ist 12 // 设 置 主机 10.1.1.1 的 最 大 连接 为 10000 
ip inspect max flow 50 src list 13 


// 设 置 10.0.0.0/8 网 络 中 其 他 主机 的 最 大 连接 为 50 
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4) 对 服务 器 资源 的 保护 
通过 卫 Inspect 对 目的 主机 的 保护 ， 主 要 用 于 对 内 部 主机 保护 的 情况 。 如 果 需 要 保 
护 DMZ 区 域 的 服务 器 资源 ， 则 可 以 采用 以 下 配置 。 


access-list 2001 permit tcp any 10.1.0.4 eq 21 
access-list 2001 permit tcp any 10.1.0.5 eq http 
ip inspect max flow 500 dst list 2001 

ip inspect max flow 1000 dst-dport list 2001 


3. 使 用 防火 墙 防御 SYN Flood 攻击 

使 用 防火 墙 是 防御 SYN Flood 攻击 的 最 有 效 方法 之 一 。 但 是 我 们 常见 的 硬件 防火 墙 
有 多 种 ， 到 底 哪 种 才 具 有 此 种 防御 功能 呢 ?又 该 如 何 配置 防火 墙 呢 ? 下 面 先 来 了 解 包 过 滤 
型 和 应 用 代理 型 防火 墙 防御 SYN Flood 攻击 的 原理 。 

1) 两 种 主要 类 型 防火 墙 的 防御 原理 

应 用 代理 型 防火 墙 的 防御 方法 是 在 客户 端 要 与 服务 器 建立 TCP 连接 的 三 次 握手 过 
程 中 ， 因 为 它 位 于 客户 端 与 服务 器 端 〈 通 常 分 别 位 于 外 、 内 部 网 络 ) 中 间 ， 充 当代 理 角 
色 ， 这 样 客户 端 要 与 服务 器 端 建立 一 个 TCP 连接 ， 就 必须 先 与 防火 墙 进行 三 次 TCP 握 
手 ， 当 客户 端 和 防火 墙 三 次 握手 成 功 之 后 ， 再 由 防火 墙 与 客户 端 进行 三 次 TCP 握手 ， 完 
成 后 再 进行 一 个 TCP 连接 的 三 次 握手 。 一 个 成 功 的 TCP 连接 所 经 历 的 两 个 三 次 握手 过 
程 ， 先 是 客户 端 到 防火 墙 的 三 次 握手 ， 再 是 防火 墙 到 服务 器 端的 三 次 握手 。 

从 整个 过 程 可 以 看 出 ， 由 于 所 有 的 报 文 都 是 通过 防火 墙 转发 ， 而 且 未 同 防火 墙 建立 
起 TCP 连接 就 无 法 同 服务 器 端 建立 连接 , 所 以 使 用 这 种 防火 墙 就 相当 于 起 到 一 种 隔离 保 
护 作 用 ， 安 全 性 较 高 。 当 外 界 对 内 部 网 络 中 的 服务 器 端 进行 SYN Flood 攻击 时 ， 实 际 上 
遭受 攻击 的 不 是 服务 器 而 是 防火 墙 。 而 防火 墙 自 身 则 又 是 具有 抗 攻击 能 力 的 ， 可 以 通过 
规则 设置 ， 拒 绝 外 部 客户 端 不 断 发 送 的 SYN 报 文 。 

但 是 ,采用 这 种 防火 墙 有 个 很 大 的 缺点 ， 那 就 是 客户 端 和 服务 器 端 建立 一 个 TCP 连 
接 时 ， 防 火 墙 就 进行 6 次 握手 ， 可 见 防火 墙 的 工作 量 是 非常 大 的 。 因 此 ， 采 用 这 种 防火 
墙 要 求 该 防火 墙 要 有 较 高 的 处 理 速度 及 较 大 内 存 。 应 用 代理 型 防火 墙 通常 不 适合 应 用 于 
访问 流量 大 的 服务 器 或 者 网 络 。 

包 过 滤 型 防火 墙 工作 于 IP 层 或 者 人 P 层 之 下 ， 对 于 外 来 的 数据 报 文 ， 它 只 是 起 一 个 
过 滤 的 作用 。 当 数据 包 合 法 时 ， 它 就 直接 将 其 转发 给 服务 器 ， 起 到 的 是 转发 作用 。 在 包 
过 滤 型 防火 墙 中 ， 客 户 端 同 服务 器 的 三 次 握手 直接 进行 ， 并 不 需要 通过 防火 墙 来 代理 进 
行 。 包 过 滤 型 防火 墙 的 效率 要 较 网 关 型 防火 墙 高 ， 适 用 于 数据 流量 大 的 场景 。 但 是 这 种 
防火 墙 如 果 配 置 不 当 ， 会 让 攻击 者 绕 过 防火 墙 而 直接 攻击 到 服务 器 。 而 且 允 许 数 据 量 大 
会 更 有 利于 SYN Flood 攻击 。 这 种 防火 墙 适合 于 大 流量 的 服务 器 ,但 是 需要 设置 妥当 才 
能 保证 服务 器 具有 较 高 的 安全 性 和 稳定 性 。 
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2) 防御 SYN Flood 攻击 的 防火 墙 设置 

除了 可 以 直接 采用 以 上 两 种 不 同类 型 的 防火 墙 进行 SYN Flood 防御 外 ,还 可 进行 一 
些 特殊 的 防火 墙 设置 来 达到 目的 。 针 对 SYN Flood 攻击 ， 防 火 墙 通常 有 三 种 防护 方式 : 
SYN 网 关 、 被 动 式 SYN 网 关 和 SYN 中 继 。 

(1) SYN 网 关 。 在 这 种 方式 中 ， 防 火 墙 收 到 客户 端的 SYN 包 时 ， 直 接 转发 给 服务 
器 ; 防火 墙 收 到 服务 器 的 SYN/ACK 包 后 ， 一 方面 将 SYN/ACK 包 转 发 给 客户 端 ， 另 一 
方面 以 客户 端的 名 义 给 服务 器 回 送 一 个 ACK 包 ， 完 成 一 个 完整 的 TCP 三 次 握手 ， 让 服 
务 器 端 由 半 连 接 状 态 进 入 连接 状态 。 当 客户 端 真正 的 ACK 包 到 达 时 ， 有 数据 则 转发 给 
服务 器 ， 否 则 丢弃 该 包 。 由 于 服务 器 在 连接 状态 要 比 半 连 接 状 态 使 用 更 少 的 资源 ， 所 以 
这 种 方法 能 有 效 地 减轻 对 服务 器 的 攻击 。 

(2) 被 动 式 SYN 网 关 。 在 这 种 方式 中 ， 设 置 防火 墙 的 SYN 请 求 超时 参数 ， 让 它 小 
于 服务 器 的 超时 期 限 。 防 火 墙 负责 转发 客户 端 发 往 服 务 器 的 SYN 包 ， 包 括 服务 器 发 往 客户 
端的 SYN/ACK 包 和 客户 端 发 往 服 务 器 的 ACK 包 。 这 样 ， 如 果 客 户 端 在 防火 墙 计时 器 
到 期 时 还 没 发 送 ACK 包 ， 防 火 墙 将 往 服务 器 发 送 RST 包 ， 以 使 服务 器 从 队列 中 删除 该 
半 连 接 。 由 于 防火 墙 的 超时 参数 小 于 服务 器 的 超时 期 限 ， 因 此 这 样 也 能 有 效 防止 SYN 
Flood 攻击 。 

(3) SYN 中 继 。 在 这 种 方式 中 ， 防 火 墙 在 收 到 客户 端的 SYN 包 后 ， 并 不 向 服务 器 
转发 而 是 记录 该 状态 信息 ,然后 主动 给 客户 端 回 送 SYN/ACK 包 。 如 果 收 到 客户 端的 ACK 
包 ， 表 明 是 正常 访问 ， 由 防火 墙 向 服务 器 发 送 SYN 包 并 完成 三 次 握手 。 这 样 ， 由 防火 
墙 作为 代理 来 实现 客户 端 和 服务 器 端的 连接 ， 可 以 完全 过 滤 恶 意 连接 发 往 服务 器 。 


4.3.8 ”防火 墙 应 用 实例 


1. PIX 防火 墙 

思科 系统 公司 〈Cisco Systems，Inc.) 成 立 于 1984 年 12 月 ， 是 全 球 领先 的 因特网 解 
决 方案 提供 者 。Cisco Secure PIX 防火 墙 系列 是 业界 领先 的 产品 之 一 , 具有 很 好 的 安全 性 、 
可 靠 性 ， 特 别 是 以 突出 的 性 能 而 著称 。 

下 面 以 PIX Firewall 525 为 例 介绍 PIX Firewall 的 基本 配置 方法 。 

在 进行 配置 之 前 ， 首 先 需要 了 解 PIX 防火 墙 提供 的 4 种 管理 访问 模式 。 

(1) 非特 权 模式 : PIX 防火 墙 开 机 自 检 后 ， 就 是 处 于 这 种 模式 ， 系 统 提示 符 为 
pixfirewall>。 

(2) 特权 模式 : 输入 enable 进入 特权 模式 ， 可 以 改变 当前 配置 ， 系 统 提示 符 为 
PIxfirewall#。 

(3) 配置 模式 : 输入 configure terminal 进入 此 模式 ， 绝 大 部 分 的 系统 配置 都 在 这 里 
进行 ， 系 统 提 示 符 为 pixfirewall (config) #。 

(4) 监视 模式 : PIX 防火 墙 在 开机 或 重启 过 程 中 ， 按 住 Escape 键 或 发 送 一 个 Break 
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字符 ， 进 入 监视 模式 ， 可 以 更 新 操作 系统 映像 和 口令 恢复 ， 系 统 提示 符 为 monitor>。 

在 配置 PIX 防火 墙 时 , 有 6 个 基本 命令 是 必须 的 : nameif、 interface、 ip address、nat、 
global 和 route。 

1) 配置 防火 墙 接口 的 名 字 ， 并 指定 安全 级 别 (nameif) 


Pix525 (config)#nameif ethernet0 outside security0 
Pix525 (config)#nameif ethernetl inside security100 
Pix525 (config)#nameif dmz security50 


在 默认 配置 中 ， 以 太 网 0 被 命名 为 外 部 接口 (outside )， 安 全 级 别 是 0; 以 太 网 1 被 
命名 为 内 部 接口 (inside)， 安 全 级 别 是 100。 其 他 接口 安全 级 别 取 值 范围 为 1 一 99， 数 字 
越 大 安全 级 别 越 高 。 若 添加 新 的 接口 ， 可 以 输入 命令 : 


Pix525 (config)#nameif pix/intf3 security40 (安全 级 别 任 取 ) 
2) 配置 以 太 网 接口 参数 (interface) 


Pix525 (config)#interface ethernet0 auto 

auto 选项 表明 接口 为 系统 自 适应 网 卡 类 型 。 

Pix525 (config)#interface ethernet1l 100full 

100full 选项 表示 接口 以 100Mbps 以 太 网 全 双 工 通信 方式 工作 。 
Pix525 (config)#interface ethernet1l 100full shutdown 


shutdown 选项 表示 关闭 这 个 接口 ， 若 启用 接口 去 掉 shutdown。 
3) 配置 内 外 网 卡 的 卫 地址 〈ip address) 


Pix525 (config)#ip address outside 202.114.38.42 255.255.255.0 
Pix525 (config)#ip address inside 192.168.101.1 255.255.255.0 


上 述 例子 中 ,PEX 525 防火 墙 在 外 网 的 他 地 址 是 202.114.38.42, 内 网 中 地 址 是 192.168.101.1。 

4) 指定 要 进行 转换 的 内 部 地 址 (NAT) 

网 络 地 址 翻译 CNATI) 的 作用 是 将 内 网 的 私有 卫 转换 为 外 网 的 公有 卫 。NAI 命令 
总 是 与 global 命令 一 起 使 用 , 这 是 因为 NAT 命令 可 以 指定 一 台 主 机 或 一 段 范围 的 主机 访 
问 外 网 ， 访 问 外 网 时 需要 利用 global 所 指定 的 地 址 池 进 行 对 外 访问 。 

nat 命令 语法 : 


nat (if name)nat id local ip [netmark] 


其 中 ，(if name) 表示 内 网 接口 名 字 ， 如 inside; nat_id 用 来 标识 全 局 地 址 池 ， 使 它 
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与 其 相应 的 global 命令 相 匹 配 ; local ip 表示 内 网 被 分 配 的 卫 地 址 ， 例 如 ，0.0.0.0 表示 
内 网 所 有 主机 可 以 对 外 访问 ; [netmark] 表 示 内 网 卫 地 址 的 子 网 掩 码 。 


Pix525 (config)#nat (inside)1 0 0 


表示 启用 nat， 内 网 的 所 有 主机 都 可 以 访问 外 网 ， 用 0 可 以 代表 0.0.0.0。 
Pix525 (config)#nat (inside)1 172.16.5.0 255.255.0.0 

表示 只 有 172.16.5.0 这 个 网 段 内 的 主机 可 以 访问 外 网 。 

5) 指定 外 部 地 址 范围 (global) 


global 命令 把 内 网 的 他 地 址 翻译 成 外 网 的 全 地 址 或 一 段 地 址 范围 。 
global 命令 语法 : 


global (if name)nat id ip address-ip address [netmark global mask] 


其 中 ，(if name) 表示 外 网 接口 名 字 ， 如 outside; nat id 用 来 标识 全 局 地 址 池 ， 使 
它 与 其 相应 的 nat 命令 相 匹配 ; ip_address-ip_address 表示 翻译 后 的 单个 卫 地 址 或 一 段 卫 
地 址 范围 ，[netmark global mask] 表 示 全 局 PP 地 址 的 网 络 掩 码 。 


Pix525 (config)#global (outside)1 202.114.38.43-202.114.38.52 


表示 内 网 的 主机 通过 PIX 防火 墙 要 访问 外 网 时 ，PIX 防火 墙 将 使 用 202.114.38.43 
-202.114.38.52 这 段 全 地 址 池 为 要 访问 外 网 的 主机 分 配 一 个 全 局 人 P 地 址 。 


Pix525 (config)#global (outside)1 202.114.38.43 

表示 内 网 要 访问 外 网 时 , PIX 防 火 墙 将 为 访问 外 网 的 所 有 主机 统一 使 用 202.114.38.43 
这 个 单一 他 地址。 

Pix525 (config)#no global (outside)1 202.114.38.43 


表示 删除 这 个 全 局 表 项 。 
6) 设置 指向 内 网 和 外 网 的 静态 路 由 (route) 
route 命令 配置 语法 : 


route (if name)ip netmask gateway ip [metric] 


其 中 ，(if name) 表示 接口 名 字 ， 如 inside、outside; ijp、netmask 分 别 代表 卫 地 址 
和 子 网 掩 码 ; gateway_ip 表示 网 关 路 由 器 的 ip 地 址 ; [metric] 表 示 到 gateway_ip 的 跳 数 ， 
通常 默认 是 1。 


Pix525 (config)#route outside 0 0 202.114.38.1 1 
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表示 一 条 指向 边界 路 由 器 (ip 地 址 202.114.38.1) 的 默认 路 由 。 


Pix525 (config)#route inside 10.1.1.0 255.255.255.0 192.168.101.2 1 
Pix525 (config)#route inside 10.2.0.0 255.255.0.0 192.168.101.2 1 


如 果 内 部 网 络 只 有 一 个 网 段 ， 设 置 一 条 默认 路 由 即 可 ; 如 果 内 部 存在 多 个 网 络 ， 需 
要 配置 一 条 以 上 的 静态 路 由 。 

7) 配置 fixup 协议 

fixup 命令 的 作用 是 启 有 用、 禁止、 改变 一 个 服务 或 协议 通过 PIX 防火 墙 ， 由 fixup 命 
令 指 定 的 端口 是 PIX 防火 墙 要 侦 听 的 服务 ， 请 参见 下 面 的 例子 。 


Pix525 (config)#fixup protocol ftp 21 启用 ftp 协议 ,并 指定 ftp 的 端口 号 为 21 
Pix525 (config)#fixup Protocol http 80 

Pix525 (config)#fixup protocol http 1080 为 http 协议 指定 80 和 1080 两 个 端口 
Pix525 (config)#no fixup protocol smtp 25 禁用 smtp 协议 


以 上 介绍 的 只 是 Cisco PIX ”Firewall 的 基本 配置 命令 ， 要 更 好 地 利用 防火 墙 进行 网 
络 安全 管理 ， 还 需要 对 PIX 防火 墙 进行 高 级 配置 。 由 于 篇 幅 有 限 ， 高 级 配置 方法 在 此 不 
作 介 绍 ， 用 户 可 参照 PIX Firewall 用 户 手册 。 

2. 天 网 防火 墙 

天 网 个 人 防火 墙 是 早期 国内 用 户 比较 喜欢 的 一 款 个 人 防火 墙 软件 。 天 网 个 人 防火 墙 
提供 多 种 预先 设置 的 安全 级 别 ， 同 时 也 支持 用 户 自 定义 应 用 程序 的 安全 规则 与 系统 的 安 
全 策略 ， 支 持 应 用 程序 通信 控制 ， 同 时 具备 自动 识别 功能 ， 但 绝 大 部 分 的 应 用 程序 无 法 
自动 识别 ， 用 户 需 要 在 程序 第 一 次 访问 网 络 时 配置 防火 墙 规 则 。 此 外 ， 它 还 提供 特洛伊 
木马 和 入 侵 检 测 功 能 ， 可 以 通过 厂商 的 安全 数据 库 自动 查找 系统 的 漏洞 。 

天 网 防火 墙 个 人 版 是 个 人 计算 机 使 用 的 网 络 安全 程序 ， 根 据 管 理 者 设 定 的 安全 规则 
把 守 网 络 ， 提 供 强 大 的 访问 控制 、 信 息 过 滤 等 功能 ， 帮 助 用 户 抵挡 网 络 入 侵 和 攻击 ， 防 
止 信息 泄露 。 天 网 防火 墙 把 网 络 分 为 本 地 网 和 因特网 ， 可 针对 来 自 不 同 网 络 的 信息 设置 
不 同 的 安全 方案 ， 适 合 于 任何 方式 上 网 的 用 户 。 

1) 安全 级 别 设置 


” 安全 师 别 ; 自 定义 


图 4-29 天 网 个 人 防火 墙 的 默认 安全 级 别 


天 网 个 人 版 防火 墙 的 默认 安全 级 别 分 为 低 、 中 、 高 、 扩 4 个 等 级 (如 图 4-29 所 示 )， 
默认 的 安全 等 级 为 中 级 。 用 户 可 以 根据 自己 的 需要 调整 自己 的 安全 级 别 ， 方 便 实用 。 对 
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于 普通 的 个 人 上 网 用 户 ， 建 议 使 用 中 级 安全 规则 ， 它 可 以 在 不 影响 使 用 网 络 的 情况 下 ， 
最 大 限度 地 保护 机 器 不 受到 网 络 攻击 ， 对 于 需要 频繁 试用 各 种 新 的 网 络 软件 和 服务 、 又 
需要 对 木马 程序 进行 足够 限制 的 用 户 ， 建 议 其 使 用 扩展 级 安全 规则 ， 可 以 对 各 种 木马 及 
间谍 程序 有 相当 的 限制 并 保留 一 定 的 网 络 访问 便利 。 

值得 注意 的 是 ， 天 网 的 简易 安全 级 别 是 为 了 方便 不 熟悉 天 网 使 用 的 用 户 能 够 很 好 地 
使 用 天 网 而 设 的 。 正 因为 如 此 ， 如 果 用 户 选择 了 采用 简易 的 安全 级 别 设置 ， 那 么 天 网 就 
会 屏蔽 高 级 的 “IP 规则 设 定 ” 里 规则 的 作用 。 

2) IP 规 则 设置 

IP 规则 是 针对 整个 系统 的 网 络 层 数据 包 监 控 而 设置 的 。 利 用 自 定义 IP 规则 ， 用 户 
可 针对 个 人 不 同 的 网 络 状态 ,设置 自己 的 了 P 安全 规则 ， 使 防御 手段 更 周到 、 更 实用 。 用 
户 可 以 按 “ 自 定义 IP 规则 ” 键 基 央 或 者 在 “安全 级 别 ” 中 单 击 国 ] 校 钮 进入 IP 规则 设置 
界面 。 

卫 规则 设置 的 操作 界面 如 图 4-30 所 示 。 


自 定 义 IF 规则 国联 XX 回 个 3 苞 
动作 | 名 称 协议 


防止 别人 用 ping 命 令 探测 ICIP 
防御 ICIP 攻 击 ICIP 
防御 ICJP 攻击 IGIP 


允许 局 域 网 的 机 器 使 用 我 的 共享 资源 TCP 
葵 止 互联 网 上 的 机 器 使 用 我 的 共享 次 TCP 


图 4-30 自 定义 正规 则 


实际 上 ， 天 网 防火 墙 个 人 版 本 身 已 经 默认 设置 了 相当 好 的 默认 规则 ， 一 般 用 户 并 不 
需要 做 任何 卫 规则 修改 ， 就 可 以 直接 使 用 。 但 是 对 于 一 些 高 级 用 户 而 言 ， 天 网 防火 墙 自 
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身 提供 的 一 些 默认 规则 可 能 不 能 满足 要 求 ， 此 时 用 户 可 以 自行 定义 和 添加 新 的 卫 规则 。 
假如 当前 用 户 想 要 禁止 接收 任何 SNMP 的 报 文 ， 可 以 通过 图 4-31 所 示 的 操作 实现 。 


抽出 修改 IP 规 则 


规则 
名 称 FE 
说 明 际 正 授权 smF 报 广 


数据 包 方向 : [ 李 3 必 可 
对 方 IP 地 址 
对 在 何 地 址 了 


数据 包 协议 类 型 : juDP = 


本 地 端口 对 方 端口 
厂 已 授权 程序 开放 的 端口 | 从 厅 


人 FE 到 Jar | 到 一 
端口 为 0 时 ， 不 作为 条 件 


当 满 中 上 面条 件 时 
EE | 同时 还 厂 记录 
三 


图 4-31 添加 和 修改 卫 规则 


(1) 单 击 “ 自 定义 卫 规则 ”工具 栏 中 的 “增加 规则 ”按钮 〈 第 一 个 按钮 )， 将 弹出 
一 个 用 于 定义 增加 下 规则 的 对 话 框 。 

(2) 在 “规则 ”选项 区 域 中 的 “名 称 ” 文 本 框 和 “说 明 ” 列 表 框 中 任意 填写 自 定义 
规则 的 名 称 以 及 相关 的 描述 ， 便 于 查找 和 阅读 。 

(3)“ 数 据 包 方 向 ”选择 “接收 ” 表示 该 规则 是 针对 进入 的 还 是 发 出 的 数据 包 有 效 。 

(4)“ 对 方 人 P 地址 ”选项 区 域 用 于 确定 选择 数据 包 从 哪里 来 或 是 去 哪里 ， 其 中 “ 任 
何 地 址 ”表示 数据 包 从 任何 地 方 来 都 适合 本 规则 ,“ 局 域 网 网 络 地 址 ”是 指数 据 包 来 自 和 
发 往 局 域 网 ,“ 指 定 地 址 ”可 以 自己 输入 一 个 特定 的 地 址 ,“ 指 定 的 网 络 地 址 ”可 以 输入 
一 个 网 络 号 和 掩 码 。 

(5) 由 于 SNMP 是 基于 UDP 协议 的 ， 因 此 “数据 包 协 议 类 型 ”选择 UDP。 

(6) 由 于 SNMP 在 本 地 机 器 上 使 用 的 是 UDP 161 端口 ， 因 此 在 “本 地 端口 ”中 填写 
的 端口 号 为 161。 
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(7) 在 “ 当 满 足 上 面条 件 时 ”选项 区 域 的 下 拉 列 表 框 中 选择 “拦截 ”， 表示 让 指定 
的 数据 包 无 法 进入 当前 用 户 的 机 器 。 

(8) 单 击 “ 确 定 ” 按 钮 ， 将 指定 的 规则 添加 到 卫 规则 列表 中 去 。 

应 用 程序 规则 管理 与 了 规则 设置 的 操作 类 似 , 限于 篇 幅 原 因 ， 在 此 就 不 再 袭 述 ， 用 
户 可 以 自行 参看 相关 的 帮助 文档 和 使 用 手册 。 


4.4 ISA Server 应 用 配置 


ISA Server (Intermet Security and Acceleration Server) 是 微软 公司 提供 的 著名 路 由 级 
网 络 防火 墙 。 微 软 公 司 分 别 在 2004 年 7 月 13 日 和 2006 年 7 月 31 日 正式 发 布 了 Microsoft 
ISA Server 2004 和 Microsoft ISA Server 2006 和 ISA Server 2004 相 比 , ISA Server 2006 作 
了 如 下 更 新 和 升级 。 

(1) 所 有 包含 在 ISA Server 2004 SP2 中 的 新 增 特性 , 如 BITS 缓存 、HTTP 压缩 支持 、 
基于 DiffServ 协议 的 HITP 优先 级 等 。 

(2) 增强 了 对 OWA 发 布 和 多 个 Web 站 点 发 布 的 支持 , 并 新 增 了 对 SharePoint Portal 
Server 发 布 的 支持 。 

(3) 新 增 了 单 点 登录 特性 ， 支 持 针对 通过 某 个 Web 侦 听 器 所 发 布 的 所 有 Web 服务 
的 单 点 登录 。 

(4) 新 增 了 服务 器 场 功能 ,支持 通过 多 个 Web 服务 器 组 成 服务 器 群集 以 实现 负载 均 
衡 ， 并 且 此 特性 无 需 Windows 的 NLB 或 群集 支持 。 

(5) 强化 了 DDoS 防御 功能 ， 极 大 地 增强 了 对 于 DDoS 攻击 的 防范 能 力 。 


4.4.1 ISA Server 的 安装 
1. 安装 准备 


(1) 网 络 : 在 安装 ISA Server 服务 器 以 前 ， 应 保证 网 络 正常 工作 ， 这 样 可 以 避免 一 
些 未 知 的 问题 。 本 节 中 使 用 的 网 络 环境 如 图 4-32 所 示 。 


TIP:10.0.1.1/24 
DNS:10.0.1.1 


IP:192.168.1.49/24 
网 关 : 192.168.1.60 


访 - Internet 
A 
客户 机 路 由 器 

TIP:10.0.1.2/24 ISA Server IP:192.168.1.60/24 

网 关 : 10.0.1.1 


DNS:10.0.1.1 


4-32 ”ISA Server 应 用 环境 
(2) 网 络 适配器 : 必须 为 连接 到 ISA Server 服务 器 的 每 个 网 络 单独 准备 一 个 网 络 适 
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配器 ， 至 少 需 要 一 个 网 络 适配器 。 但 是 ， 在 单 网 络 适配器 计算 机 上 安装 的 ISA Server 服 
务 器 通常 是 为 发 布 的 服务 器 提供 一 层 额外 的 应 用 程序 筛选 保护 或 者 缓存 来 自 Internet 的 
内 容 使 用 。 

(3) DNS 服务 器 : ISA Server 服务 器 不 具备 转发 DNS 请 求 的 功能 ， 必 须 使 用 额外 的 
DNS 服务 器 。 或 者 在 内 部 网 络 中 建立 一 个 DNS 服务 器 , 或 者 使 用 外 网 (Intemet) 的 DNS 
服务 器 。 

2. 安装 ISA Server 

假定 在 ISA Server 服务 器 上 已 经 建立 好 了 一 个 内 部 的 DNS 服务 器 ; 所 有 客户 端 以 
ISA Server 机 的 内 部 接口 〈10.0.1.1) 作为 它 的 网 关 和 DNS 服务 器 。 由 于 在 设计 的 时 候 
考虑 了 很 多 人 性 化 特性 和 管理 特性 ，ISA Server 使 用 起 来 非常 简单 。 当 然 ， 这 一 切 都 是 
以 正确 的 安装 为 基础 的 ,运行 ISA Server 安装 光盘 根 目录 下 的 ISAAutorun.exe 开始 ISA 
Server 的 安装 。 

(1) 单 击 “ 安 装 ISA Server 2004”， 出 现 安装 界面 如 图 4-33 所 示 。 


crosoft ISA Server 安装 程序 中 中国 加 | 

wg 安装 向 导 进 展 如 下 - 版 本 =5Ix| 
Necrorotr 
Windows Server System 


欢迎 使 用 Microsoft ISA Server 2004 的 安装 
用 jn 蛆 件 。 wosorr 月 导 


初始 化 系统 安装 向 导 允 许 您 更 疏 ,修复 或 删除 Miicrosoft ISA 
Server 2004。 


要 继续 ,请 单 击 “ 下 一 步 ”。 


图 4-33 ”ISA 安装 界面 


(2) 单 击 “ 下 一 步 ”按钮 ， 在 授权 画面 上 选择 “我 接受 许可 协议 中 的 条 款 ” 单 选 按 
钮 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 在 客户 信息 对 话 框 ， 输 入 个 人 信息 和 产品 序列 号 ， 单 击 
“下 一 步 ” 按 钮 继续 。 在 图 4-34 安装 类 型 对 话 框 ， 如 果 你 想 改变 ISA Server 的 默认 安装 
选项 ， 可 以 选择 “ 自 定义 ” 单 选 按钮 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 
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“防火 墙 服务 器 ”和 “ISA 服务 器 管理 ”， 


安装 向 导 


ft ISA Server 2004 — 


F 稀 型 (D) 

Pe 拉 和 能 - 需要 大 的 21715 三 各 宁 问 不 包括 
完全 (O 

一 安装 所 有 程序 功能 。 哺 要 最 多 的 磁盘 空间 。) 
个 自 定义 (5) 

三 选择 要 安装 哪些 程序 功能 。 建 议 高 级 用 户 使 用 。 


EF Fr open Files\Microso 


ft ISA Server\ 


更 中 00)... 
mm | 


图 4-34 选择 安装 类 型 
(3) 在 图 4-35“ 自 定义 安装 ”对 话 框 中 可 以 选择 安装 的 组 件 ， 默 认 情况 下 ， 会 安装 


2004 一 安装 向 导 


功能 涪 明 一 一 一 一 一 一 一 
本 和 但 以 及 在 网 络 之 间 的 通 


C:\Program Files\Microsoft ISA Server\ 


mm | sa® | ‘tsw [Bm] my | 


图 4-35 自 定义 安装 


而 “防火 墙 客户 端 安装 共享 ”和 用 于 控制 垃圾 
邮件 和 邮件 附件 的 “消息 筛选 程序 ”不 会 安装 。 如 果 想 安装 “消息 筛选 程序 ” 需要 先 在 
ISA Server 2004 服务 器 上 安装 IS 6.0 SMTP 服务 。 单 击 “ 下 一 步 ” 按 钮 继续 。 
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(4) 在 图 4-36“ 内 部 网 络 ”对 话 框 中 ， 单 击 “ 添 加 ”按钮 。 


但 Wicrosoft ISA Server 2004 = 安装 向 导 


EN 


图 4-36 内 部 网 络 


内 部 网 络 和 ISA Server 2000 中 使 用 的 LAT 已 经 大 大 不 同 了 。 在 ISA Server 2004 和 
2006 中 , 内 部 网 络 定义 为 ISA Server 必须 进行 数据 通信 的 信任 的 网 络 。 防火 墙 的 系统 策 
略 会 自动 允许 ISA Server 到 内 部 网 络 的 部 分 通信 。 

(5) 在 图 4-37“ 地 址 添加 ”对 话 框 中 ， 单 击 “ 选 择 网 卡 ” 按 钮 ， 出 现 “ 选 择 网 卡 ” 


on Servek 2004 安装 程序 


4-37 ”添加 内 部 网 络 地 址 范围 
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(6) 在 图 4.38“ 选 择 网 卡 ” 对话 框 中 , 取消 对 “添加 下 列 专用 范围 : 10.xxx，192.168.xx， 
172.16.x.x-172.31.xX 和 169.254.x.x。” 复 选 框 的 勾 选 ， 保 留 对 “基于 Windows 路 由 表 
添加 地 址 范围 ” 复 选 框 的 勾 选 ， 选 择 连接 内 部 网 络 的 适配器 ， 单 击 “ 确 定 ” 按 钮 。 在 弹 
出 的 图 4-39 提示 对 话 框 中 单 击 “ 确 定 ” 按 钮 。 在 内 部 网 络 地 址 对 话 框 中 单 击 “ 确 定 ” 
按钮 。 


选择 要 在 内 部 网 络 中 包含 的 IP 地 址 。 


厂 添加 下 列 专 用 范围 : 10, x.x.x，192. 168.x.x，172. 16.x.x — 
172.31.x.x 和 169.254.x.x@@)。 


站 基于 Windows 路 由 表 添 加 地 址 范围 到) 
选择 与 下 列 内 部 网 卡 相关 联 的 地 址 范围 &): 


1001.1 
口 waAN 192.168.1.49 


确定 取消 | 


图 4-38 选择 网 卡 


rosoft Internet Security and Acceleration Se 2004 半 程 计 


在 和信 生 人 生生 计生 国生 人 汪汪 相国 或 者 ， 单 击 “ 选 择 网 卡 ”来 选择 与 特定 的 网 


内 部 网 络 地 址 范围 ); 


1001.0 1001 
10.255.255.255 10.255.255.255 


4-39 ”内 部 网 络 地 址 对 话 框 
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(7) 然后 在 图 4-40“ 内 部 网 络 ” 对 话 框 中 单 击 “ 下 一 步 ”按钮 。 


间 Wicrosoft ISA Server 2004 二 安装 向 导 
内 部 网 络 
指定 您 想 在 ISA Server 内 部 网 络 上 包括 的 地 址 范围 . RR 


内 部 网 络 通常 包括 专用 地 址 范围 和 与 连接 到 内 部 网 络 的 网 卡 相关 联 的 地 址 范围 。 


单 击 “ 更 改 ”来 编辑 或 添加 内 部 网 络 的 地 址 。 


内 部 网 络 地 址 范围 从 -到 ) 


10,0,1,0-10,0,1.255 
10,255,255,255-10,255,255,255 


《 上 一 步 @) | 下 一 步 中 > 取消 | 


图 4-40 ”内 部 网 络 


(8) 在 图 4-41“ 防 火 墙 客户 端 连接 设置 ”对 话 框 中 ， 如 果 你 的 客户 机 上 使 用 了 ISA 
Server 2000 的 防火 墙 客户 端 ， 则 可 以 选择 “允许 运行 早期 版 本 的 防火 墙 客户 端 软件 的 计 
算 机 连接 ” 复 选 框 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 

斧 Wicrosoft ISA Server 2004 一 安装 千 导 


防火 墙 客户 该 连 接 设置 
请 验证 ISA Server 2004 防火 墙 客户 端的 连接 设置 。 


ISA_ Server 2004 的 防火 墙 客户 端 使 用 协议 来 加 密 在 防火 墙 客户 端 和 ISA Server 
之 间 的 通道 。 


也 支持 运行 早期 版 本 的 防火 墙 客户 端 软件 。 不 过 ， 这 些 连 接 将 不 使 用 加 密 。 


厂 允许 运行 早期 版 本 的 防火 墙 客户 端 软件 的 计算 机 连接 () 


溃 : 我 们 建议 悠 部 署 ISA Server 2004 的 防火 墙 客 户 端 ， 因 为 它 包 合 新 的 安全 


— ww | 
图 4-41 ”防火 墙 客户 端 连接 设置 
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〈9) 在 图 4-42“ 服 务 ” 对 话 框 中 单 击 “ 下 一 步 ” 按 钮 。 


ISA Server 2004 - 安装 向 导 


有 ， 某 些 在 此 计算 机 上 本 地 运行 的 服务 可 能 会 被 重启 动 或 茜 


如 果 此 计算 机 上 运行 这 些 服务 ,它们 以 及 依 斥 于 它们 的 系统 组 件 将 被 停止 ; 


SHMP Service 
IIS Admin Service 


如 果 此 计算 机 上 局 用 这 些 服务 ， 在 安装 过 程 中 它们 将 被 禁用 : 


Internet Connection Firewall (ICF) / Internet Connmection Sharing (ICS) 
IP Network Address Translation 


到 | 
图 4-42 服务 


(10) 在 “可 以 安装 程序 了 ”对 话 框 中 单 击 “ 安 装 ” 按 钮 。 在 “安装 向 导 完成 ”对 
话 框 中 ,选择 “在 向 导 关闭 时 运行 ISA 服务 器 管理 ” 单 选 按钮 ， 然 后 单 击 “ 完 成 ”按钮 。 
此 时 ， 会 出 现 Microsoft Internet Security and Acceleration Server 2004 控制 台 。 安 装 完毕 。 


4.4.2 ”配置 允许 所 有 内 部 用 户 访问 Internet 的 所 有 服务 的 访问 规则 


1. 网 络 规则 

在 ISA Server 中 ， 防 火 墙 策略 是 由 网 络 规则 、 访 问 规 则 和 服务 器 发 布 规则 三 者 的 结 
合 组 成 的 。 网 络 规则 定义 了 不 同 网 络 间 是 否 能 访问 ， 以 及 如 果 可 以 访问 则 该 如 何 进行 访 
问 ; 访问 规则 定义 了 用 户 〈( 内 、 外 网 ) 的 访问 ， 服务 器 发 布 规则 定义 了 如 何 让 用 户 访问 
服务 器 。 

网 络 规则 是 ISA Server 中 的 一 个 重大 改进 ， 通 过 网 络 规则 来 定义 并 描述 网 络 拓扑 ， 
可 以 很 好 地 支持 复杂 的 网 络 环境 。 网 络 规则 确定 两 个 网 络 之 间 是 否 存在 连接 ， 以 及 定义 
如 何 进行 连接 。 网 络 连 接 的 方式 如 下 。 

(1) 路 由 。 当 指定 这 种 类 型 的 连接 时 ， 来 自 源 网 络 的 客户 端 请 求 将 被 直接 转发 到 目 
标 网 络 。 源 客户 端 地 址 包含 在 请 求 中 。 当 发 布 位 于 DMZ 网 络 中 的 服务 器 时 ， 可 以 使 用 
路 由 网 络 规则 。 

(2) 网 络 地 址 转换 (NAT)。 当 指定 这 种 类 型 的 连接 时 ，ISA 服务 器 将 用 它 自 己 的 
卫 地 址 蔡 换 源 网 络 中 客户 端的 人 P 地 址 。 当 定义 内 部 网 络 与 外 部 网 络 之 间 的 关系 时 ， 可 
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以 使 用 NAT 网 络 规则 。 
路 由 网 络 关系 是 双向 的 。 如 果 定 义 了 从 网 络 A 到 网 络 B 的 路 由 关系 , 那么 从 网 络 B 
到 网 络 A 也 存在 着 路 由 关系 。 相反 ,NAT 关系 则 是 唯一 的 和 单 向 的 。 如 果 定 义 了 从 网 络 
A 到 网 络 B 的 NAT 关系 ， 则 不 能 定义 从 网 络 B 到 网 络 A 的 网 络 关系 。 用 户 可 以 创建 定 
义 双 向 关系 的 网 络 规则 ， 但 是 ISA 服务 器 将 忽略 有 序 规则 列表 中 的 第 二 条 网 络 规 则 。 
安装 时 ， 会 创建 图 4-43 所 示 默 认 规则 。 


soft Internet Security and EL 人 


日 全 


上 | 入 本 本 地 主机 访问 路 由 。 入 本 地 主机 本， 
成 抽 用 OrD 日 2 Yk 客户 总 到 内 部 网 络 。 。 路 由 。 加 VPN 客户 喘 寺内 部 
SR 福 - 补 及 高 的 VPH 客户 并 
入 缓存 日 晶 3 Internet 访问 AT 习 VEN 客户 端 司 外 部 
号 插件 二 被 隔离 的 YPN 客户 端 
加 第 规 二 内 部 
4-43 ”网络 规则 
(3) 本 地 主机 访问 。 此 规则 定义 了 在 本 地 主机 网 络 与 其 他 所 有 网 络 之 间 存 在 的 路 由 


关系 。 

(4) VPN 客户 端 到 内 部 网 络 。 此 规则 指定 在 两 个 VPN 客户 端 网 络 (“VPN 客户 端 ” 
和 “被 隔离 的 VPN 客户 端 2 与 内 部 网 络 之 间 存 在 着 路 由 关系 。 

(5) Internet 访问 。 此 规则 定义 了 在 内 部 受 保护 的 网 络 〈 如 内 部 、VPN 客户 端 等 ) 
与 外 部 网 络 之 间 存 在 的 NAT 关系 。 

2. 访问 规则 

1) 防火 墙 系统 策略 

在 安装 ISA Server 服务 器 时 ， 会 创建 默认 的 系统 策略 。 系 统 策略 允许 ISA Server 服 
务 器 访问 它 连 接 到 的 网 络 的 特定 服务 。 在 图 4-44 所 示 “ 防 火 墙 策略 ”上 单 击 右键 ， 从 弹 
出 的 快捷 菜单 中 选择 “查看 ”一 “显示 系统 策略 规则 ”命令 ， 可 以 查看 系统 策略 。 如 
图 4-45 所 示 。 


4-44 查看 系统 策略 
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标注 的 地 方 表明 ISA Server 服务 器 可 以 向 任何 网 络 发 起 DNS 请 求 。 


国 3 区 许 从 所 过 计 . .区区 许 砚 EDF 蜂 端 .， 台 远程 首 理 .， 二 本 地 主机 。 名 所 有 上 


日 [网 4 区 许 使 用 Wet..， 姑 允许 他 会 话 全 本 地 主机 二 内 部 名 所 有 F 
BM WetBIos .. 
[i 
日 国 5 人 允许 从 ISA 加 1#if 级 Bons 二 本 地 主机 。 二 内 部 和 所 有 F 
项 amms 记 帐 
日 [加 6 人 允许 从 ISA 国人 允许 玖 Kerberos-..， 委 本 地 主机 全 内 部 名 所 有 F 
多 kebao 
[EE 二 本 地 主机 这 所 有 网 络 名 所 害 
国 s 允许 从 TSA 各 允许 级 Dkce 傅 求 ) 二 本 地 主机 启 任何 地 点 。 各 所 有 F 
国 9 允许 从 DC ..， 恩人 允 评 而 phce (省 复 ) 二 内 部 入- 本 地 主机 。 名所 有 F 
国 10 从 洗 从 所 碗 计 ..， 居 允许 现 Ping 暂 远程 管理 二 本 地 主机 名 所 有 F 
日 国 11 人 允许 从 ISA 园 允 放 级 IchP 时 间 改 之 本 地 主机 富 所 有 网 络 ,.， 各 所 有 F 
让 To 信息 


4-45 防火墙 策略 


2) 建立 访问 策略 

从 ISA Server 2004 开始 不 要 求 必须 为 用 户 所 访问 的 服务 定义 协议 ， 只 需要 一 条 策略 
就 可 以 让 内 部 客户 完全 地 访问 Intemet 上 的 所 有 服务 。 

为 了 方便 使 用 ，ISA Server 2004 附带 了 网 络 模板 的 功能 ， 使 用 也 很 简单 。 还 可 以 通 
过 ISA Server 的 规则 向 导 ， 轻 松 地 建立 访问 策略 。 

根据 目前 的 网 络 环境 ， 需 要 两 条 策略 : 一 条 访问 策略 ， 以 允许 内 部 网 络 客户 访问 外 
部 网 络 (Intemet); 同时 ， 因 为 内 部 网 络 客户 需要 访问 ISA Server 服务 器 上 的 DNS 服务 
器 以 解析 域名 ， 也 需要 建立 一 条 策略 以 允许 内 部 网 络 客户 访问 ISA Server 服务 器 的 DNS 
服务 。 首 先 ， 新 建 一 条 允许 内 部 客户 访问 外 部 网 络 的 所 有 服务 的 访问 规则 。 

(1) 在 “防火 墙 策略 ”上 单 击 右键 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 ” 一 “访问 规 
则 ”命令 。 如 图 4-46 所 示 。 


Microsoft Internet Security and Ke 
nm 


ernet Security & 
Acceleration Server2004 
Cyd Editon 


4-46 ”建立 访问 策略 
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(2) 在 图 4-47“ 新 建 访问 规则 向 导 ” 对 话 框 的 访问 规则 名 称 文本 框 中 输入 Allow all 
outbound traffic， 然 后 单 击 “ 下 一 步 ”按钮 。 然 后 在 “规则 操作 ”对 话 框 中 选择 “人 允许” 
单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 


4-47 新建 访问 规则 


(3) 在 图 4-48“ 协 议 ” 对 话 框 中 的 “此 规则 应 用 到 ”下 拉 列 表 框 中 选择 “所 有 出 站 
讯 ” 选 项 ， 单 击 “ 下 一 步 ”按钮 。 


图 4-48 选择 应 用 的 协议 


(4) 在 图 4-49“ 访 问 规则 源 ” 对 话 框 中 单 击 “ 添 加 ”按钮 ， 在 打开 的 “添加 网 络 实 
体 ” 对 话 框 中 双击 “内 部 ”项 ， 然 后 单 击 “ 关 闭 ”按钮 ， 回 到 “访问 规则 源 ” 对 话 框 单 
击 “ 下 一 步 ” 按 钮 。 
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图 4-49 访问 规则 源 


(5) 在 图 4-50“ 访 问 规则 目标 ”对 话 框 中 单 击 “ 添 加 ”按钮 ， 在 “添加 网 络 实体 ” 
对 话 框 中 双击 “外 部 ”项 ， 然 后 单 击 “ 关 闭 ” 按 钮 ， 回 到 “访问 规则 目标 ”对 话 框 中 单 
击 “ 下 一 步 ” 按 钮 。 


进 @ 查看 中 有 助 四 添加 网 络 实体 xX) 
新 建 访 问 规则 向 导 


访问 规则 目标 
此 规则 将 应 用 于 从 此 规则 源 发 送 到 此 页 指定 目标 的 通讯 。 


此 规则 应 用 于 发 送 到 这 些 目标 的 通讯 : 
全 外 部 


《上 一 步 @@) | 下 一 步 @ 


图 4-50 访问 规则 目标 
(6) 在 图 4-51“ 用 户 集 ”对 话 框 中 接受 默认 的 所 有 用 户 ,然后 单 击 “ 下 一 步 ”按钮 。 
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新 建 访问 规则 向 导 x 


用 户 集 * 
Rs 或 者 ,您 可 以 限制 访问 特定 用 户 


此 规则 应 用 于 来 自 下 列 用 户 集 的 请 求 : 
所 有 用 户 添加 名 )... 
编辑 于) | 
册 除 (EY | 


《上 一 步 @) [下 一 步 mD >| 。 取消 


图 4-51 用 户 集 


(7) 在 “完成 新 建 访问 规则 向 导 ” 对 话 框 中 单 击 “ 完 成 ”按钮 。 

然后 ， 新 建 一 条 允许 内 部 客户 访问 ISA Server 2004 服务 器 上 的 DNS 服务 的 访问 
规则 。 这 条 规则 的 步骤 和 上 面 一 条 一 样 ， 不 同 的 地 方 在 “规则 名 : Allow intemal access 
firewall's dns service”。 

(1) 在 图 4-52“ 协 议 ” 对 话 框 中 的 “此 规则 应 用 到 ”下 拉 列 表 框 中 选择 “所 选 的 协 
议 ” 选 项 ， 然 后 单 击 “ 添 加 ”按钮 ， 在 打开 的 “添加 协议 ”对 话 框 中 选择 “通用 协议 ” 
节点 下 的 DNS。 


协议 
请 选择 此 规则 要 应 用 到 的 协议 


图 4-52 ”选择 应 用 到 的 协议 
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(2) 在 图 4-53“ 访 问 规则 目标 ”对 话 框 中 单 击 “ 添 加 ”按钮 ， 在 打开 的 “添加 网 络 
实体 ”对 话 框 中 选择 “本 地 主机 ”， 单 击 “ 添 加 ”按钮 ， 然 后 在 “访问 规则 目标 ”对 话 框 
中 单 击 “ 下 一 步 ”按钮 。 


新 建 访 问 规划 向 导 es 添加 网 络 实体 x 
访问 规则 目标 网 络 实体 : 


此 规则 格 应 用 于 从 此 规则 源 发 送 到 此 页 指定 目标 的 通讯 。 


新 建 和 ) > 编辑 里 ). . ， 删除 0) 

日 访 网 络 
局 YN 客户 端 

此 规则 应 用 于 发 送 到 这 些 目 标的 通讯 : 二 被 隔离 的 YPN 客户 端 


吉本 地 主机 添加 性 


《上 一 步 四 | 下 一 步 中 | 再 


图 4-53 访问 规则 目标 


(3) 此 时 ，ISA Server 2004 的 管理 控制 台 应 该 如 图 4-54 所 示 ， 单 击 “ 应 用 ”按钮 
以 保存 修改 和 更 新 防火 墙 策 略 。 


河 是 crosoft Internet Se 
昌国 mezm 


tbound .， 国 允许 网 所 有 出 站 通讯 广内 部 会 外 部 名 所 有 用 户 
国 景 默认 规则 四 拒绝 最 所 有 通讯 。 全 .所 有 网 络 ( .， 全 ,所 有 网 络 ..，, 龟 所 有 用 户 


图 4-54 ”应 用 新 防火 墙 策略 


(4) 在 图 4-55“ 应 用 新 配置 ”对 话 框 中 单 击 “ 确 定 ” 按 钮 。 

此 时 ，ISA Server 服务 器 的 初步 配置 已 经 完成 ， 内 部 客户 可 以 访问 外 部 网 络 的 所 有 
服务 ,也 可 以 访问 ISA Server 2004 服务 器 上 的 DNS 服务 .注意 : 只 能 访问 ISA Server 2004 
服务 器 上 的 DNS 服务 ， 其 他 的 服务 都 会 被 禁止 (如 ping 等 )， 因 为 还 没有 在 策略 中 明确 
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加! An internal sce... 人 @ 人 允许 Dims 二 内 部 吉本 地 主机 
应 用 新 配置 
@ 成 功 应 用 了 对 配置 的 更 改 。 fE | 
| | | | | | | 


i 中村 和 光 渤 册 插 设 打 YPN 设置 。 这 可 能 需要 几 分 


图 4-55 ”应 用 新 配置 


如 果 网 络 具 有 Internet 的 静态 人 PP， 那么 ， 在 这 一 步 网 络 已 经 可 以 正常 工作 了 ; 如 果 
是 需要 拨号 登录 Intemet 的 网 络 ， 还 需要 设置 请 求 拨 号 。 

3. 配置 拨号 连接 

在 ISA Server 中 ， 配 置 请 求 拨号 非常 简单 。 

(1) 把 拨号 对 象 建立 好 ， 这 个 是 在 Windows 的 网 络 连 接 里 面 进 行 的 。 拨 号 对 象 建立 
好 后 , 进入 ISA Server 管理 控制 台 , 展开 服务 器 对 象 , 单 击 “常规 ”然后 单 击 右边 的 “ 指 
定 拨号 首选 项 ”链接 ， 如 图 4-56 所 示 。 


文件 (F) ” 换 作 (A) ”查看 (V) 帮助 (H) 
4 二 | 白 回 | 国 


3) Merosoft Internet Securkty and Acceler 
白 园 FopENcE 
监 


视 
区 防火 二 策略 


了 虚拟 考 用 网 络 (yPN) 


图] 守 % 防 火 培 客 户 示 设置 


国 配置 防火 增 沪 恒 去 看 1A 服务 器 计算 机 详细 信息 
新 ) S 二 8 销 

附加 安全 策略 

国 ] 定义 AnTIS 服务 器 澳 二 义 本 市 交 项 

届 用 入 食 榨 测 和 nms 攻击 检测 国 = 


图 4-56 ”ISA 服务 器 管理 
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(2) 在 图 4-57“ 拨 号 配置 ”对 话 框 中 ， 首 先 选择 “允许 自动 拨 此 网 络 ” 单 选 按钮 ， 
允许 ISA Server 进行 请 求 拨号 ， 然 后 在 下 拉 列 表 框 里 面 选择 “外 部 ”选项 。 然 后 勾 选 “将 
此 拨号 连接 配置 为 默认 网 关 ” 复 选 框 ， 在 “拨号 连接 ”选项 区 域 中 单 击 “ 选 择 ” 按 钮 ， 


选择 拨号 项 ， 这 里 选择 已 经 建立 好 的 宽带 拨号 项 “China telecom”。 


执 号 配置 


[21x] 
据 号 首选 项 | 


个 我 自己 找 此 连接 立 ) 

个 允许 自动 所 此 网 络 虐 ): 
[3 
关于 创建 网 络 的 帮助 


将 此 扰 号 连接 配置 为 默认 网 关 (0) 
- 撕 号 连接 一 一 一 一 一 一 
使 用 下 列 拨号 连接 0: 


sins telecom 


图 4-57 拨号 配置 
(3) 单 击 “ 设 置 账户 ”按钮 ， 弹 出 对 话 框 如 图 4-58 所 示 。 


设置 帐户 西 下 
使 用 加 下 帐户 ; 

丙 户 on: pyreceount ME) 

章 加 中 CD 

确认 密码 P): ees 


图 4-58 设置 账户 


(4) 输入 用 户 名 和 密码 后 ， 单 击 “确定” 按钮 ， 最 后 在 ISA 管理 控制 台 单 击 “ 应 用 ” 
按钮 以 保存 修改 和 更 新 防火 墙 策 略 。 这 时 ，ISA Server 的 请 求 拨号 就 配置 好 了 。 
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4.4.3 ”使 用 边缘 防火 增 模 板 建立 访问 策略 
除了 常见 的 各 种 配置 向 导 外 ，ISA Server 还 提供 了 网 络 模板 ， 可 以 设置 防火 墙 策略 。 
下 面 以 适用 范围 最 广 的 边缘 防火 墙 策略 为 例 来 建立 防火 墙 策略 ， 如 图 4-59 所 示 。 
边缘 防火 墙 
po 
CY) | » 
> 


VPN 客户 端 网 络 


外 部 网 络 
(Internet) 


内 部 网 络 


图 4-59 边缘 防火 墙 应 用 


(1) 打开 ISA Server 管理 控制 台 ， 展 开 服务 器 ， 再 展开 “配置 ”， 单 击 “ 网 络 ”， 如 
果 任 务 面 板 没 有 打开 ， 单 击 “ 打 开 / 关 闭 任务 栏 ” 按 钮 打开 任务 面板 。 在 任务 面板 ， 选 择 
“模板 ”标签 ， 单 击 “ 边 缘 防 火 墙 ” 模 板 。 如 图 4-60 所 示 。 


本 icrosoi 


此 网 络 当前 没有 分 配 信 地 址 。 中 
B102.1.0- 10.2.1.255 和 
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(2) 在 “欢迎 使 用 网 络 模板 向 导 ” 对 话 框 中 单 击 “ 下 一 步 ” 按 钮 。 在 图 4-61“ 导 出 
ISA 服务 器 的 配置 ”对 话 框 中 ， 如 果 过 去 没有 保存 过 配置 ， 可 以 单 击 “ 导 出 ”按钮 保存 
当前 配置 。 在 此 直接 单 击 “ 下 一 步 ” 按 钮 。 


导出 ISA 服务 器 的 配置 
使 用 此 导出 功能 ,备份 当前 ISA 服务 器 的 配置 。 


更 改 网 络 配置 将 覆盖 当前 的 网 络 配置 和 防火 墙 策略 规则 . 


4-61 导出 ISA 服务 器 的 配置 


(3) 在 图 4-62“ 内 部 网 络 人 P 地 址 ”对 话 框 中 ， 确 认 向 导 正 确 识别 了 内 部 网 络 的 人 P 
地 址 。 可 以 使 用 添加 、 添 加 适配器 或 者 添加 专用 按钮 来 添加 更 多 的 卫 地 址 。 在 “地 址 范 
围 ” 列 表 框 内 的 人 P 地 址 将 在 后 面向 导 配 置 的 防火 墙 中 允许 访问 外 部 网 络 。 在 所 有 的 人 P 
地 址 都 添加 完毕 后 ， 单 击 “ 下 一 步 ”按钮 继续 。 


网 络 模板 向 导 [x| 
内 部 网 络 IP 地址 
让 A I? 执 几 | ”li IP 地 址 范围 、 与 此 网 卡 关联 的 
了 地 址 范围 和 专用 了 


编辑 严 ) 
出 除 部 ) 
R 添加 适配器 加 ) 
添加 专用 FF) 


< 上 - 步 )| 下 -- 步 ) ?| 。 取消 | 
图 4-62 内 部 网 络 卫 地 址 
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(4) 在 图 4-63“ 选 择 一 个 防火 墙 策略 ”对 话 框 中 ， 从 “选择 一 个 防火 墙 策 略 ” 列 表 
框 中 选择 一 个 防火 墙 策略 。 在 这 个 例子 中 ， 选择 “允许 无 限制 的 访问 ”， 这 个 防火 墙 策略 
将 允许 内 部 网 络 和 VPN 客户 网 络 的 主机 完全 访问 Intemet (建立 的 策略 除了 包含 有 VPN 
客户 外 ， 基 本 和 刚才 建立 的 策略 一 样 )， 然 后 单 击 “ 下 一 步 ” 按 钮 继续 。 


选择 一 个 防火 墙 策略 
请 选择 默认 防火 墙 策略 ， 应 用 于 模板 中 指定 的 网 络 。 


选择 一 个 防火 墙 策略 


角 阻 止 Internet 访问 ,允许 访问 ISF 网 络 服务 
名 允许 有 限 的 Web 访问 
色 区 许 有 限 的 Web 访问 并 允许 访问 ISP 网 络 服务 
多 许 无 限制 的 访问 更 


描述 : 


爷 许 通 过 ISA 服务 器 不 受 限制 地 访问 Internet。ISA 服务 器 格 阻 止 来 自 一 
Internet 的 访问 。 


将 创建 以 下 规则 : 


1 外 注 内 闻 网 织 的 有 所有 机 汶 和 ypw 需 口 网 织 而 [p24 17 加 


《上 一 步 @) [下 一 步 史 > 。 职 消 
图 4-63 选择 一 个 防火 墙 策略 


(5) 在 “完成 网 络 模板 向 导 ” 对 话 框 中 单 击 “ 完 成 ”按钮 ， 此 时 ， 可 以 在 防火 墙 策 
略 看 到 新 建 的 策略 如 图 4-64 所 示 。 单 击 “ 应 用 ”按钮 保存 修改 和 更 新 防火 墙 策略 。 


3 Microsoft Internet Security and Acceler 
日 国 RLorENcE 


防火 墙 策略 
池 虚拟 专用 网 络 (VPN) 


国 > vwPN 客 户 端 到 内 部 网 络 葬 允许 网 所 有 出 站 ,， 己 YPN 客户 端 ”二 内 部 名 所 有 用 户 


图 4-64 查看 新 建 策略 


(6) 出 于 安全 考虑 ，ISA Server 默认 是 不 允许 FTP 上 传 的 〈 即 不 能 写 FTP 服务 器 )。 
取消 的 办 法 是 : 在 允许 访问 FTP 服务 器 的 规则 〈 在 这 里 是 “无 限制 的 Intemet 访问 ”) 
上 单 击 右键 ， 从 弹出 的 快捷 菜单 中 选择 “配置 FTP” 命 令 。 如 图 4-65 所 示 。 
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礁 vPN 客 户 清二 外 部 
妈 内 部 


聘 所 有 出 站 ..， 避 YPN 客户 端 
更 所 有 通讯 《全 . 所 有 网 络 (,， 空 .所 ..， 


图 4-65 配置 FTP 


(7) 在 图 4-66“ 配 置 FTP 协议 策略 ”对 话 框 中 ， 取 消 对 “只 读 ” 复 选 框 的 勾 选 ， 单 
击 “ 确 定 ” 按 钮 ， 最 后 单 击 “ 应 用 ”按钮 以 保存 修改 和 更 新 防火 墙 策略 。 


协议 | 


定义 相关 规则 的 FTP 协议 。 


厂 演 凑 国 
如 果 选 择 了 只 读 ， FTP 上 载 格 被 阻止 。 


图 4-66 配置 FTP 协议 策略 
4.4.4 配置 启用 HTTP 缓存 


1. 设置 缓存 所 用 的 驱动 器 
在 ISA Server 管理 控制 台 的 “缓存 ”上 单 击 右键 ， 从 弹出 的 快捷 菜单 中 选择 “定义 
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缓存 驱动 器 ”命令 。 如 图 4-67 所 示 ， 注 意 ， 此 时 的 缓存 上 有 个 向 下 的 红色 箭头 ， 表 明 没 
有 启用 缓存 。 
在 图 4-68“ 定 义 缓存 驱动 器 ”对 话 框 中 ， 根 据 网 络 带宽 及 流量 进行 设置 。 


EXE EE 2 


日 司 De] 


必 助 00 
4-67 启动 定义 缓存 驱动 器 图 4-68 ”定义 缓存 驱动 器 


2. 设置 缓存 规则 

此 时 “缓存 ”上 已 经 没有 向 下 的 箭头 了 ， 表 明 已 经 设置 了 缓存 驱动 器 。 

(1) 在 “缓存 ”上 单 击 右键 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 ” 一 “缓存 规则 ” 
命令 。 如 图 4-69 所 示 。 


icrosoft Internet Se 国力 


4-69 ”启动 设置 缓存 规则 


640 网 络 规划 设计 师 教程 


(2) 在 “新 缓存 规则 向 导 ” 对 话 框 中 输入 名 称 Cache extemal content， 然 后 单 击 “ 下 
一 步 ”按钮 。 在 “缓存 规则 目标 ”对 话 框 中 单 击 “ 添 加 ”按钮 ， 在 打开 的 “添加 网 络 实 
体 ” 对 话 框 中 双击 “外 部 ” 单 击 “ 下 一 步 ” 按 钮 。 如 图 4-70 所 示 。 


图 4-70 ”缓存 规则 目标 


(3) 在 图 4-71“ 内 容 检索 ”对 话 框 中 ， 接 受 默认 的 “只 有 在 缓存 中 存在 对 象 的 一 个 
有 效 版 本 时 。 如 果 不 存在 有 效 版 本 ， 则 传递 请 求 到 服务 器 。” 单 选 按钮 ， 单 击 “ 下 一 步 
按钮 。 


新 缓存 规则 向 导 


图 4-71 内 容 检索 配置 
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(4) 在 图 4-72“ 缓 存 内容 ” 对 话 框 中 ， 接 受 默认 的 “如 果 源 和 请 求 头 指明 要 缓存 ” 
单 选 按钮 ， 可 以 根据 需要 勾 选 下 面 的 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 。 


新 缓存 规则 向 导 x 


绥 存 内 容 
亲生 这 列表 有 储 在 缓存 中 。 在 默认 情况 下 ， 只 有 对 象 的 源 和 请 
求 头 表明 将 对 象 存储 在 缓存 才 控 此 方式 存储 对 象 。 


选择 什么 时 候 在 缓存 中 保存 内 容 : 
个 从 不 .不 会 缓存 任何 内 容 C)。 
人 耳 栗 源 和 请 求 习 指明 要 瑟 存 全] 
此 外 ， 也 缓存: 
厂 动态 内 容 四 ) 
厂 用 于 高 线 浏览 的 内 容 (302 ,307 响应 ) O) 


厂 内 容 要 求 用 户 身份 验证 以 进行 检索 (I) 


《上 - 步 四 [下 - 步 m 取消 | 


图 4-72 缓存 内 容 配 置 
(5) 在 图 4-73“ 缓 存 高 级 配置 ”对 话 框 中 ， 根 据 需要 进行 设置 ， 单 击 “ 下 一 步 ” 


按钮 。 
| 
多 存 高 级 配置 人 


请 指定 高 级 配置 。 


厅 不 缓存 大 于 此 大 小 的 对 象 四 ) [BE] 可 


厢 缓存 SSL 响应 必 ) 


《上 一 步 四 取消 | 


4-73 ”缓存 高 级 配置 
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(6) 在 图 4-74“HTTP 缓存 ”对 话 框 中 ， 接 受 默认 的 选项 ， 单 击 “下 一 步 ” 按 钮 。 


新 组 存 规 则 向 导 xl 
HTTP 绥 存 


当局 用 HTTP 缓存 时 ，HTTP 对 象 将 根据 兴 申 存 仿 在 绥 存 中 。 


也 对 基尼 TTL 在 人 中: 

设置 对 象 的 TTL (内 容 年 龄 的 百分比 ) (5); 请 
“内 容 年 龄 ”是 对 象 被 创建 或 更 改 后 的 时 间 。 

TTL 时 | 边界 : 

不 少 于 @): 15 [EE -| 

不 多 于 吕 : 三 ” ”| 的 志文 | 


厂 也 格 这 些 TTL 这 界 应 用 到 指定 过 期 的 源 LL) 
生存 时 间 (TTL) 是 内 容 在 过 期 前 在 织 存 中 保存 的 时 间 。 


《< 上 一 步 @@) 取消 


4-74 HTTP 缓存 配置 


(7) 在 图 4-75“FTP 缓存 ”对 话 框 中 ， 取 消 对 “启用 FTP 缓存 ” 复 选 框 的 勾 选 〈 可 
以 根据 需求 进行 设置 )， 单 击 “ 下 一 步 ” 按 钮 。 
新 继 存 规则 向 导 x 


FIP 缓存 
当 启 用 FTP 缓存 时 ，FTP 对 象 将 根据 第 略 存储 在 缓存 中 


厂 六 用 天 秦 存 国 | 
FIP 对 象 的 生存 时 间 CE): 


FE 天 以 上 的 日 志文 件 司 


生存 时 间 CTTL) 是 内 容 在 过 期 前 在 缓存 中 保存 的 时 间 。 


《< 上 一 步 @) | 下 一 步 中 > 取消 


图 4-75 FTP 缓存 配置 
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(8) 在 “完成 新 缓存 规则 向 导 ” 对 话 框 中 ， 回 顾 你 的 设置 ， 然 后 单 击 “ 完 成 ”按钮 。 
(9) 单 击 “ 应 用 ”按钮 以 保存 修改 和 更 新 防火 墙 策略 。ISA Server 2004 会 弹出 一 个 
“ISA 服务 器 警告 ” 对话 框 ， 选 择 “ 保 存 更 改 ， 并 重启 动 服 务 ” 单 选 按钮 ， 然 后 单 击 “ 确 
定 ” 按 钮 。 如 图 4-76 所 示 。 
7 ee 


Wierosoft 防火 墙 


个 保存 更 改 , 但 不 重启 动 服务 Q) 
只 有 在 手动 重启 动 服务 后 才 应 用 更 改 。 


图 4-76 启动 更 改 生效 
成 功 后 将 在 图 4-77“ 缓 存 规则 ” 栏 里 面 看 见 新 的 缓存 规则 。 


日 常规 四 最 后 一 个 默认 规则 密 所 有 网 络 和..， 所 有 对 象 摆 存 连接 ， 


应 用 新 配置 


@ 成 功 应 用 了 对 配置 的 更 改 。 ewel 


图 4-77 应 用 新 配置 
4.5 IDS 与 IPS 


4.5.1 人 侵 检测 系统 概述 


1. IDS 的 定义 
防火 墙 是 阻止 黑客 攻击 的 一 种 有 效 手段 ， 但 随 着 攻击 技术 的 发 展 ， 这 种 单一 的 防护 
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手段 已 不 能 确保 网 络 的 安全 ， 它 存在 以 下 的 弱点 和 不 足 。 

(1) 防火 墙 无 法 阻止 内 部 人 员 所 做 的 攻击 。 防 火 墙 保护 的 是 网 络 边界 安全 ， 对 在 网 
络 内 部 所 发 生 的 攻击 行为 无 能 为 力 。 而 据 调 查 ， 网 络 攻击 事件 有 60% 以 上 是 由 内 部 人 员 
所 为 。 

(2) 防火 墙 对 信息 流 的 控制 缺乏 灵活 性 ， 防 火 墙 是 依据 管理 员 定 义 的 过 滤 规 则 对 进 
出 网 络 的 信息 流 进行 过 滤 和 控制 的 。 如 果 规 则 定义 过 于 严格 , 则 限制 了 网 络 的 互 连 互通 ; 
如 果 规 则 定义 过 于 宽松 ， 则 又 带 来 了 安全 隐患 。 防 火 墙 自身 无 法 根据 情况 的 变化 进行 自 
我 调整 。 

(3) 在 攻击 发 生 后 ， 利 用 防火 墙 保存 的 信息 难以 调查 和 取证 。 而 在 攻击 发 生 后 ， 能 
够 进行 调查 和 取证 ， 将 罪犯 绳 之 以 法 ， 是 威慑 网 络 罪犯 、 确 保 网 络 秩序 的 重要 手段 。 防 
火 墙 由 于 自身 的 功能 所 限 ， 难 以 识别 复杂 的 网 络 攻 击 并 保存 相关 的 信息 。 

为 了 确保 计算 机 网 络 安全 ， 必 须 建立 一 整套 的 安全 防护 体系 ， 进 行 多 层次 、 多 手段 
的 检测 和 防护 。 入 侵 检测 系统 就 是 安全 防护 体系 中 重要 的 一 环 ， 它 所 具有 的 实时 性 、 动 
态 检测 和 主动 防御 等 特点 ， 弥 补 了 防火 墙 等 静态 防御 工具 的 不 足 ， 能 够 及 时 识别 网 络 中 
发 生 的 入 侵 行为 并 实时 报警 。 

入 侵 检 测 系统 〈Intrusion Detection System，IDS) 是 一 种 主动 保护 自己 ， 使 网 络 和 
系统 免 遭 非法 攻击 的 网 络 安全 技术 ， 它 依照 一 定 的 安全 策略 ， 对 网 络 、 系 统 的 运行 状况 
进行 监视 ， 尽 可 能 发 现 各 种 攻击 企图 、 攻 击 行为 或 攻击 结果 ， 以 保证 网 络 系统 资源 的 机 
密 性 、 完 整 性 和 可 用 性 。 

入 侵 检测 系统 是 对 防火 墙 的 一 个 极其 有 益 的 补充 ， 我 们 做 一 个 形象 的 比喻 : 假如 防 
火 墙 是 一 栋 大 楼 的 门 锁 , 那么 IDS 就 是 这 栋 大 楼 里 的 监视 系统 。 一旦 小 偷 聆 窗 进 入 大 楼 ， 
或 者 内 部 人 员 有 越界 行为 ， 只 有 实时 监视 系统 才能 发 现 情况 并 发 出 警告 。 

2. IDS 的 作用 

入 侵 检测 系统 作为 一 种 积极 主动 的 安全 防护 工具 ， 提 供 了 对 内 部 攻击 、 外 部 攻击 和 
误 操 作 的 实时 防护 ， 在 计算 机 网 络 和 系统 受到 危害 之 前 进行 报警 、 拦 截 和 响应 。 它 具有 
以 下 主要 作用 。 

(1) 通过 检测 和 记录 网 络 中 的 安全 违规 行为 ， 签 罚 网 络 犯罪 ， 防 止 网 络 入 侵 事 件 的 
发 生 。 

(2) 检测 其 他 安全 措施 未 能 阻止 的 攻击 或 安全 违规 行为 。 

(3) 检测 黑客 在 攻击 前 的 探测 行为 ， 预 先 给 管理 员 发 出 警报 。 

(4) 报告 计算 机 系统 或 网 络 中 存在 的 安全 威胁 。 

(5) 提供 有 关 攻 击 的 信息 ， 帮 助 管理 员 诊 断 网 络 中 存在 的 安全 弱点 ， 利 于 其 进行 
修补 。 

(6) 在 大 型 、 复 杂 的 计算 机 网 络 中 布置 入 侵 检 测 系统 ， 可 以 显著 提高 网 络 安全 管理 
的 质量 。 
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3. IDS 的 组 成 

一 个 IDS 系统 通常 由 探测 器 (Sensor)、 分 析 器 (Analyzer)、 响 应 单元 (Response Units) 
和 事件 数据 库 (Event Databases) 组 成 。 

事件 是 IDS 中 所 分 析 的 数据 的 统称 ， 它 可 以 是 从 系统 日 志 、 应 用 程序 日 志 中 所 产生 
的 信息 ， 也 可 以 是 在 网 络 中 抓 到 的 数据 包 。 

(1) 探测 器 。 探 测 器 主要 负责 收集 数据 。 入 侵 检测 的 第 一 步 就 是 收集 数据 ， 内 容 包 
括 任 何 可 能 包含 入 侵 行为 线索 的 系统 数据 , 如 网 络 数据 包 、 日 志文 件 和 系统 调用 记录 等 。 
通常 需要 在 计算 机 网 络 系统 中 的 若干 个 不 同 的 关键 点 (不同 网 段 和 不 同 主机 ) 收集 数据 ， 
这 是 因为 入 侵 检测 在 很 大 程度 上 依赖 于 收集 数据 的 正确 性 和 可 靠 性 。 有 时 从 一 个 数据 源 
来 的 数据 有 可 能 看 不 出 问题 ， 但 是 从 几 个 数据 源 来 的 数据 的 不 一 致 却 是 可 疑 行 为 或 入 侵 
的 最 好 标识 。 探 测 器 将 这 些 数据 收集 起 来 后 ， 发 送 到 分 析 器 进行 处 理 。 

(2) 分 析 器 。 又 称 分 析 部 件 ， 它 的 作用 是 分 析 从 探测 器 中 获得 的 数据 ， 主 要 包括 两 
个 方面 : 一 是 监控 进出 主机 和 网 络 的 数据 流 ， 看 是 否 存在 对 系统 的 入 侵 行为 ， 另 一 个 是 
评估 系统 关键 资源 和 数据 文件 的 完整 性 ， 看 系统 是 否 已 经 遭受 了 入 侵 。 前 者 的 作用 是 在 
入 侵 行为 发 生 时 发 现 它 ， 从 而 避免 遭受 攻击 ; 后 者 是 在 遭受 攻击 时 未 能 及 时 发 现 和 阻止 
攻击 行为 ， 但 可 以 通过 攻击 行为 留 下 的 痕迹 了 解 攻击 行为 的 一 些 情况 ， 从 而 避免 再 次 遭 
受 攻击 。 对 系统 资源 完整 性 的 检查 也 有 利于 对 攻击 行为 进行 取证 。 

(3) 响应 单元 。 又 称 控制 台 部 件 ， 它 的 作用 是 对 分 析 所 得 结果 做 出 相应 的 动作 ， 或 
者 是 报警 ， 或 者 是 更 改 文 件 属 性 ， 或 者 是 阻 断 网 络 连接 等 。 

(4) 事件 数据 库 。 又 称 日 志 部 件 ， 存 放 的 是 各 种 中 间 数 据 ， 记 录 攻 击 的 基本 情况 。 

4. IDS 的 类 型 及 技术 

1) 根据 数据 来 源 和 系统 结构 的 不 同 ， 入 侵 检测 系统 可 以 分 为 基于 主机 、 基 于 网 络 
和 混合 性 入 侵 检测 系统 三 类 

(1) 基于 主机 的 入 侵 检 测 (Host-based Intrusion Detection System，HIDS) 通常 在 被 
重点 检测 的 主机 上 运行 一 个 代理 程序 ， 用 于 监视 、 检 测 对 于 主机 的 攻击 行为 (如 可 疑 的 
网 络 连接 、 系 统 日 志 检查 和 非法 访问 等 )， 通 知 用 户 并 进行 响应 。HID 最 适合 配置 来 对 
抗 内 部 的 威胁 , 因为 它 能 监视 并 响应 用 户 特 殊 的 行为 以 及 对 主机 文件 的 访问 行为 。 因 此 ， 
它 保 护 的 一 般 是 所 在 的 系统 。 由 于 这 种 类 型 的 系统 依赖 于 审计 数据 或 系统 日 志 的 准确 性 
和 完整 性 以 及 安全 事件 的 定义 ， 所 以 若 入 侵 者 设法 逃避 审计 或 进行 合作 入 侵 ， 则 基于 主 
机 的 检测 系统 就 会 暴露 出 弱点 ， 特 别 是 在 现在 的 网 络 环境 下 ， 单 独 依靠 主机 审计 信息 进 
行 入 侵 检测 已 难以 适应 网 络 安全 的 需要 。 

(2) 基于 网 络 的 入 侵 检 测 (Network Intrusion Detection System，NIDS) 数据 源 是 网 
络 上 的 数据 包 , 在 这 种 类 型 的 入 侵 检测 系统 中 , 往往 将 一 台 机 器 的 网 卡 设置 于 混杂 模式 ， 
监听 所 有 本 网 段 内 的 数据 包 并 进行 判断 。 一 般 网 络 型 入 侵 检测 系统 担负 着 保 护 整个 网 段 
的 任务 。 它 不 停 地 监视 网 段 中 的 各 种 数据 包 ， 对 每 一 个 可 疑 的 数据 包 进 行 特 征 分 析 : 如 
果 数 据 包 与 内 置 的 某 些 规 则 吻合 ， 入 侵 检 测 系统 就 会 发 出 警报 甚至 直接 切断 网 络 连接 。 
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目前 ， 大 部 分 入 侵 检测 产品 是 基于 网 络 的 。 基 于 网 络 的 IDS 易于 配置 和 易于 作为 一 个 独 
立 的 组 件 来 进行 管理 ， 而 且 它们 对 受 保护 系统 的 性 能 也 不 产生 影响 或 影响 很 小 。 在 网 
络 入 侵 检测 系统 中 ， 有 多 个 久负盛名 的 开放 源码 软件 ， 如 Snort、NFR 和 Shadow 等 。 
4-78 是 一 个 典型 的 基于 网 络 的 入 侵 检测 系统 的 模型 。 


入 规则 库 | 检测 结果 


网 络 数据 包 网 络 数据 包 
捕获 模块 1 捕获 模块 n 


以 太 网 


图 4-78 NIDS 模型 


(3) 混合 型 是 基于 主机 和 基于 网 络 的 入 侵 检测 系统 的 结合 ， 它 为 前 两 种 方案 提供 了 
互补 ， 还 提供 了 入 侵 检测 的 集中 管理 ， 采 用 这 种 技术 能 实现 对 入 侵 行为 的 全 方位 检测 。 

2) 根据 入 侵 检 测 所 采用 的 技术 ， 可 以 分 为 异常 检测 和 误 用 检测 两 类 

(1) 异常 检测 (Abnormal Detection)。 能 够 根据 异常 行为 和 使 用 计算 机 资源 的 情况 
检测 出 入 侵 。 该 技术 通过 流量 统计 分 析 建 立 系统 正常 行为 的 轨迹 ， 当 系统 运行 时 的 数值 
超过 正常 阔 值 则 认为 可 能 受到 攻击 ， 其 技术 本 身 就 导致 了 漏 报 误 报 率 较 高 。 

(2) 误 用 检测 (Misuse Detection)。 该 技术 是 建立 在 使 用 某 种 模式 或 者 特征 描述 方 
法 能 够 对 任何 已 知 攻击 进行 表达 这 一 理论 基础 上 的 , 其 关键 是 如 何 正 确 表达 入 侵 的 模式 ， 
把 真正 的 入 侵 与 正常 行为 区 分 开 来 。 误 用 检测 可 以 直接 识别 攻击 ， 误 报 率 低 。 缺 点 是 只 
能 检测 已 定义 的 攻击 方法 ， 对 新 的 攻击 方法 无 能 为 力 ， 必 须 及 时 更 新 模式 库 。 

通常 IDS 将 这 两 种 检测 技术 相 结合 , 像 Cisco 公司 的 ID 就 是 这 种 解决 方案 的 一 个 实 
例 。 它 首先 检查 特征 库 ， 如 果 有 特征 匹配 ， 则 采用 基于 模式 匹配 或 基于 签名 的 方法 检测 
入 侵 ; 如 果 没 有 特征 匹配 ， 就 采用 基于 异常 统计 的 方法 检测 入 侵 。 

$5. 分 布 式 入 侵 检测 系统 

传统 的 集中 式 IDS 的 基本 模型 是 在 网 络 的 不 同 网 段 放置 多 个 探测 器 收集 当前 网 络 状 
态 的 信息 ,然后 将 这 些 信息 传送 到 中 央 控 制 台 进行 分 析 处 理 。 这 种 方式 存在 明显 的 缺陷 。 

(1) 对 于 大 规模 分 布 式 攻击 ， 中 央 控 制 台 的 负荷 将 会 超过 其 处 理 极限 ， 这 种 情况 会 
造成 大 量 信息 处 理 的 遗漏 ， 导 致 漏 警 率 的 增高 。 

(2) 多 个 探测 器 收集 到 的 数据 在 网 络 上 的 传输 会 在 一 定 程度 上 增加 网 络 负担 ， 导 致 
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网 络 系统 性 能 的 降低 。 

(3) 由 于 网 络 传输 的 时 延 问题 ， 中 央 控 制 台 处 理 的 网 络 数据 包 中 所 包含 的 信息 只 反 
应 了 探测 器 接受 到 它 时 网 络 的 状态 ， 不 能 实时 反应 当前 网 络 状 态 。 

现代 IDS 必须 能 够 实现 局 部 实时 检测 ， 全 局 信息 共享 ， 只 有 这 样 才能 够 有 效应 对 现 
代 网 络 的 特点 。 因此, 分 布 式 入 侵 检 测 系 统 (Distributed Intrusion Detection System, DIDS) 
应 运 而 生 。DIDS 采用 了 分 布 式 智能 代理 的 结构 方式 ， 由 几 个 中 央 智 能 代理 和 大 量 分 布 
的 本 地 代理 组 成 ， 其 中 本 地 代理 负责 处 理 本 地 事件 ， 而 中 央 代理 负责 整体 的 分 析 工 作 。 
与 集中 式 模型 不 同 ， 它 强调 的 是 通过 全 体 智能 代理 协同 工作 来 分 析 入 侵 者 的 攻击 策略 ， 
中 央 代 理 扮演 的 是 协调 者 和 全 局 分 析 员 的 角色 ， 但 绝对 不 是 唯一 的 事件 处 理 者 ， 其 地 位 
就 像 是 战场 上 的 元 是， 根据 对 全 局 形式 的 判断 指挥 部 下 开展 行动 。 本 地 代理 有 较 强 的 自 
主 性 ， 可 以 独立 对 本 地 攻击 进行 有 效 的 检测 。 同 时 ， 它 也 和 中 央 智能 代理 和 其 他 本 地 代 
理 通 信 ， 接 受 中 央 代 理 的 调度 指挥 并 与 其 他 代理 协同 工作 。 

一 个 简单 的 分 布 式 入 侵 检 测 系统 如 图 4-79 所 示 。 


“、、 共 享 网 自 
网 络 星 视 器 网 络 监视 器 网 络 监视 器 网 络 监视 器 
通信 代理 器 通信 代理 器 通信 代理 器 通信 代理 器 


图 4-79 DIDS 系统 


用 户 接口 : 主要 负责 给 安全 管理 者 提供 友好 的 人 机 界面 。 
通信 代理 器 : 主要 负责 控制 整个 系统 的 信息 流 。 
。 网 络 监视 器 : 主要 负责 监视 网 络 中 的 数据 ， 通 过 通信 代理 模块 向 DIDS 中 央 控 制 


台 发 送信 息 。 
4.5.2 人 侵 检 测 系统 实例 
1. RIDS-100 


RIDS-100 入 侵 检 测 系统 是 由 瑞星 公司 自主 开发 研制 的 新 一 代 网 络 安 全 产品 , 它 集 入 
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侵 检测 、 网 络 管理 和 网 络 监视 功能 于 一 身 ， 能 实时 捕获 内 外 网 之 间 传 输 的 所 有 数据 ， 利 
用 内 置 的 攻击 特征 库 ， 使 用 模式 匹配 和 智能 分 析 的 方法 ， 检 测 网 络 上 发 生 的 入 侵 行为 和 
异常 现象 ， 并 在 数据 库 中 记录 有 关 事 件 ， 作 为 管理 员 事后 分 析 的 依据 。 如 果 情 况 严重 ， 
RIDS-100 可 以 发 出 实时 报警 ， 使 得 管理 员 能 够 及 时 采取 应 对 措施 。 

RIDS-100 入 侵 检 测 系统 是 一 套 基于 网 络 的 分 布 式 入侵 检 测 系统 , 它 主 要 由 入 侵 检测 
引擎 和 管理 控制 台 两 部 分 组 成 ， 如 图 4-80 所 示 。 


被 保护 网 络 2 


< 之 


一 一 


入 侵 检测 引擎 | 入 侵 检测 引擎 


入 侵 检测 引擎 < 
| 
被 保护 网 络 3 
> 


图 4-80 入侵 检测 系统 组 成 图 


管理 控制 台 


1) 入 侵 检测 引擎 
入 侵 检测 引擎 为 专用 硬件 设备 〈 如 图 4-81 所 示 )， 可 以 安装 在 标准 的 机 架 上 ， 一 个 
检测 引擎 可 以 保护 一 个 网 段 。 


瑞星 入 侵 检测 系统 


4-81 ”RIDS-100 入 侵 检测 引擎 


检测 引擎 有 两 个 以 太 网 接口 : 数据 捕获 口 和 查询 管理 口 。 

检测 引擎 的 数据 捕获 口 接 在 被 保护 网 段 上 ， 它 以 隐身 模式 从 网 络 线路 上 获取 数据 ， 
然后 调用 相应 的 处 理 模 块 进行 分 析 处 理 ， 如 果 发 现 异常 事件 ， 则 调用 告警 器 ， 由 其 根据 
预定 义 的 处 理 规则 ， 决 定 调用 相应 的 响应 模块 。 响 应 模块 可 以 采取 多 种 手段 向 系统 管理 
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员 或 被 攻击 主机 报警 ， 也 可 以 主动 切断 发 生 攻击 的 连接 。 

查询 管理 口 接 在 管理 主机 可 以 访问 的 网 络 上 ， 它 是 管理 控制 台 和 引擎 进行 通信 的 
接口 。 

检测 引擎 采用 模块 化 设计 结构 (如 图 4-82 所 示 )， 具 有 很 好 的 可 扩展 性 。 引 擎 包含 
的 功能 模块 有 包 捕 获 模 块 、 虚 拟 机 模块 、 攻 击 特征 库 、 过 滤器 模块 、 智 能 分 析 模块 、 记 
录 器 模块 、 报 警 模块 和 磁盘 管理 模块 等 。 


智能 分 析 模块 | 


实时 告警 数据 


; 。 配置 管理 进程 


| | car Web 服务 器 : 


图 4-82 网络 检 测 引 擎 结构 图 


检测 引擎 具有 在 线 升级 功能 ， 升 级 包括 攻击 特征 库 的 更 新 和 软件 程序 的 更 新 。 

检测 引擎 的 接 入 对 被 保护 网 络 是 透明 的 ， 它 对 被 保护 网 络 的 任何 流量 和 请 求 均 不 做 
反应 ， 不 影响 被 保护 网 络 的 性 能 。 

2) 管理 控制 台 

管理 控制 台 是 对 检测 引擎 进行 配置 、 管 理 和 数据 查询 的 软件 程序 ， 它 可 以 安装 在 内 
网 的 管理 员 主机 (Windows 2000/NT 操作 系统 ) 上 。 

此 外 , 为 了 加 强 对 引擎 进行 访问 的 用 户 的 管理 , RIDS-100 系统 设计 了 一 套 完善 的 用 
户 管理 机 制 ， 每 个 管理 用 户 配 有 一 把 电子 钥匙 ， 内 装 有 该 用 户 的 密 钥 和 加 密 算法 。 用 户 
在 对 系统 进行 管理 时 必须 插入 自己 的 钥匙 并 输入 正确 的 口令 。 系 统 构成 如 表 4-8 所 示 。 


650 网 络 规划 设计 师 教程 


表 4-8 ”RIDS-100 构成 


部 件 名 称 | 产品 形态 安装 方式 在 系统 中 的 作用 
监听 被 保护 网 络 ， 检 测 攻 击 ， 实 时 报警 ， 
存储 检测 到 的 信息 


硬件 
安装 在 管理 员 主 机 本 


电子 钥匙 即 插 即 用 实现 用 户 一 次 性 口令 认证 


典型 应 用 方案 

1) 监听 、 检 测 发 生 在 内 网 之 间 的 连接 和 攻击 

如 图 4-83 所 示 ， 入侵 检测 引擎 与 内 部 网 络 主机 并 联 , 它 以 隐身 模式 通过 监听 口 从 网 
络 线路 上 获取 数据 ， 然 后 调用 相应 的 处 理 模块 进行 分 析 处 理 ， 如 果 发 现 异常 事件 ， 则 调 
用 告警 器 ， 由 其 根据 预定 义 的 处 理 规则 决定 调用 相应 的 响应 模块 。 入 侵 检测 引擎 还 通过 
管理 口 与 管理 主机 通信 ， 响 应 模块 可 以 采取 多 种 手段 向 系统 管理 员 或 被 攻击 主机 报警 ， 
也 可 以 主动 切断 发 生 攻 击 的 连接 。 


入 侵 检测 引擎 


即 插 即 用 


路 由 器 


防火 墙 


监听 口 


图 4-83 监听 、 检 测 内 网 中 发 生 的 所 有 连接 和 攻击 时 引擎 的 安装 方式 


2) 监听 、 检 测 外 网 对 内 网 的 攻击 

如 图 4-84 所 示 ， 防 火 墙 串联 在 外 部 网 和 内 网 的 连接 线路 上 ， 过 滤 来 自 非 安全 区 和 
DMZ 区 的 数据 ， 而 入 侵 检 测 引 擎 与 防火 墙 并 联 ， 通 过 监听 口 监听 来 自 非 安全 区 的 数据 ， 
并 做 出 相应 反应 。 入 侵 检测 引擎 通过 管理 口 与 内 网 的 管理 主机 通信 。 
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FTP 服务 器 邮件 服务 器 


1 
1 
! ] 
域名 服务 器 www 服务 器 | El 马 2 

1 

a 二 
| 
| 


和 


图 4-84 用 于 监听 、 检 测 外 网 对 内 网 所 做 的 攻击 时 引擎 的 安装 方式 


限于 篇 幅 ， 只 对 RIDS-100 作 简 要 介绍 ， 配 置 细 节 在 此 不 作 介绍 ， 用 户 可 以 自行 参 
看 相关 的 帮助 文档 和 使 用 手册 。 

2. Cisco 入 侵 检测 系统 4200 

Cisco IDS 4200 系列 设备 检测 器 是 专用 型 高 性 能 网 络 安 全 “设备 ”， 能 够 阻止 网 络 上 
的 非法 恶意 行为 , 例如 黑客 发 动 的 攻击 。Cisco IDS 检测 器 能 够 实时 分 析 流 量 ， 使 用 户 能 
够 快速 地 对 安全 问题 作出 反应 。 

思科 著名 的 思科 防御 研究 小 组 (C-CRT) 将 许多 高 新 检测 技术 结合 在 一 起 ， 包 括 状 
态 样式 识别 、 协 议 解析 、 启 发 式 检测 和 异常 检测 ， 因 而 能 有 效 消 除 多 种 已 知 和 未 知 的 计 
算 机 威胁 。 不 仅 如 此 ， 借 助 Cisco 签名 微型 引擎 (SME) 技术 ， 还 可 以 更 加 精细 地 定制 
检测 器 签名 ， 精 确 调整 检测 器 ， 检 测 器 错误 指示 。 
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检测 到 非法 行为 后 ,检测 器 可 以 向 管理 控制 台 通报 行为 细节 。 另 外 ，Cisco IDS 主动 
响应 系统 还 能 控制 路 由 器 、 防 火 墙 和 交换 机 等 其 他 系统 ， 为 网 络 提供 保护 ， 及 时 中 断 非 
法 操作 。 借 助 多 种 多 样 的 管理 解决 方案 ， 包 括 Web 用 户 界面 、 命 令 行 界面 (CLI) 或 思 
科 高 度 可 扩展 的 CiscoWorkd VPN/ 安 全 管理 解决 方案 (VMS), 这 些 设备 的 安装 和 管理 非 
常 容易 。 

1) Cisco IDS 解决 方案 

考虑 到 企业 站 点 非常 复杂 ， 效 击 技术 多 种 多 样 ， 黑 客 数量 只 增 不 减 ， 必 须 采用 全 面 
的 解决 方案 才能 有 效 预 防 黑客 的 袭击 。 这 种 解决 方案 应 该 能 对 抗 多 种 袭击 技术 ， 并 防止 
在 典型 袭击 过 程 中 执行 恶意 操作 。 由 于 Cisco IDS 解决 方案 提供 包含 NIDS 和 HIDS 组 件 
的 组 合 解决 方案 ， 因 而 能 满足 这 个 要 求 。NIDS 主要 预防 网 络 袭 击 ，HIDS 则 主要 防止 服 
务 器 遭受 OS 和 应 用 袭击 。 

NIDS 检 测 器 安装 在 多 个 位 置 上 。 最 重要 的 位 置 是 防火 墙 前 面 , 负责 监控 进入 机 构 的 
通信 信息 。 另 外 ， 每 个 重要 的 网 段 都 安装 一 个 检测 器 。HIDS 首先 部 署 在 面 对 因 特 网 的 
服务 器 上 ， 例 如 Web、 邮 件 和 DNS 服务 器 。 由 于 面向 因特网 的 服务 器 与 后 端 服务 器 相 
连 ， 因 此 ，HIDS 也 部 署 在 公司 防火 墙 内 的 所 有 其 他 主要 服务 器 上 。 

2) Cisco IDS 网 络 检测 器 

网 络 检测 器 能 够 为 网 络 设备 及 服务 器 上 的 通信 模块 提供 全 面 保 护 。 其 主要 特性 
如 下 。 

(1) 积极 响应 。 系 统 包 含 对 检测 器 设备 的 主动 响应 功能 ， 用 户 只 需 修 改 Cisco 路 由 
器 上 的 访问 控制 表 就 能 让 系统 自动 回避 或 取消 特定 连接 。 回 避 功 能 可 以 临时 启用 ， 也 可 
以 长 久保 留 。 其 他 网 络 流量 正常 流动 ， 只 快速 、 有 效 地 删除 来 自 内 部 用 户 或 外 部 入 侵 者 
的 非法 流量 。 这 样 ， 安 全 操作 员 就 能 够 快速 终止 误 操作 ， 并 防止 入 侵 者 访问 网 络 。 

(2) 全 面 检测 网 络 袭 击 。 包 括 检测 对 路 由 器 和 交换 机 的 恶意 袭击 ， 检 测 面向 服务 器 
通信 模块 的 第 3 层 (或 更 低层 次 ) 袭击 ， 检 测 探听 或 映射 等 企图 ， 例 如 通常 作为 实际 效 
击 前 兆 的 呼叫 清除 和 端口 清除 。 

(3) 全 面 检测 应 用 袭击 。 系 统 支持 多 种 应 用 协议 ， 如 HITP、DNS、 文 件 传输 协议 
(CFTP) 及 其 他 协议 。 另 外 ， 它 还 能 检测 针对 易 损 CGI 程序 发 起 的 多 种 通信 涂 击 。 

(4) 以 独特 的 方式 预防 DoS。 检 测 DDoS 代理 与 黑客 之 间 的 通信 ， 预 防 用 于 穿越 典 
型 NIDS 技术 的 分 组 分 片 及 其 他 编码 技巧 技术 。 

3) Cisco IDS 主机 检测 器 

主机 检测 器 能 够 为 服务 器 上 运行 的 服务 器 操作 系统 和 应 用 提供 全 面 保护 。 主 机 检测 
器 安装 在 每 台 服务 器 上 ， 用 于 保护 OS 和 应 用 。 系 统 利 用 呼叫 截获 技术 提供 纯 主动 式 服 
务 器 安全 系统 。 其 主要 特性 如 下 。 

(1) 现场 预防 OS 和 应 用 袭击 。 与 只 有 在 袭击 成 功 之 后 才 查看 记录 和 反应 的 基于 记 
录 的 HIDS 不 同 ， 主 机 检测 器 能 够 在 袭击 发 生 之 前 在 呼叫 水 平 上 预防 袭击 。 
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(2) 防止 缓冲 器 溢出 袭击 。 主 机 检测 器 能 够 发 现 注入 代码 的 执行 过 程 并 防止 系统 受 
损 。 两 个 主要 功能 如 下 。 

@ 保护 与 用 于 提供 代码 的 手段 无 关 ， 即 使 注入 代码 未 通过 线路 传输 ， 也 能 防止 
效 击 。 

@ 机 制 使 用 了 即使 袭击 未 知 也 能 防止 执行 恶意 代码 的 通用 签名 ， 对 于 厂商 尚未 提 
供 任何 补丁 程序 的 未 知 缓冲 器 溢出 ， 这 种 方法 能 够 提供 保护 。 

(3) 不 断 提高 完整 性 。 通 过 控制 对 二 进 制 、 配 置 数据 及 其 他 系统 对 象 的 访问 ， 主 机 
检测 器 能 锁定 系统 。 即 使 是 超级 用 户 ， 也 无 法 算 改 系统 。 通 过 配置 ， 主 机 检测 器 可 以 不 
人 允许 修改 某 些 系统 设置 ， 以 保证 设置 符合 推荐 的 默认 值 。 这 些 特性 不 但 能 强化 服务 器 操 
作 系 统 ， 还 能 显著 提高 系统 的 完整 性 。 

(4) Web 服务 器 屏蔽 。 为 保护 领先 的 Web 服务 器 (IIS、Apache 和 IPlanet)， 服 务 
器 检测 器 包括 特殊 屏蔽 模块 。 这 些 模块 基于 行为 模块 ， 能 提供 两 种 主要 特性 。 

@ 防止 其 他 程序 访问 特殊 应 用 资源 (甚至 在 权限 用 户 执行 的 时 候 )。 

@ 防止 恶意 使 用 Web 服务 器 。 借 助 Web 服务 器 专用 的 行为 模式 ， 主 机 检测 器 能 防 
止 未 知 袭 击 ， 因 为 识别 基于 行为 模式 ， 且 不 是 每 次 袭击 都 需要 特殊 签名 。 

(5) 防止 安全 套 接 层 (SSL) 加 密 的 HTTP 大 击 。NIDS 不 能 对 用 SSL 加 密 的 HTTP 
请 求 进行 解密 。 利 用 这 个 弱点 ， 黑 客 可 以 通过 对 柳 击 加 密 绕 过 NIDS。 加 密 后 的 恶意 请 
求 能 够 悄悄 通过 NIDS， 然 后 由 Web 服务 器 解密 并 执行 ， 从 而 成 功 地 利用 易 损 点 。 另 一 
方面 ， 主 机 检测 器 则 与 Web 服务 器 相连 ， 能 够 在 解密 后 服务 前 立即 截获 请 求 。 如 果 发 现 
请 求 是 恶意 的 ， 请 求 将 被 丢弃 ， 而 不 会 发 送 到 Web 服务 器 ， 这 样 就 可 以 预防 袭击 。 

应 用 

Cisco IDS 4200 系列 设备 检测 器 包括 三 型 产品 : Cisco IDS 4210、Cisco IDS 4235 和 
Cisco IDS 4250。 整 个 Cisco IDS 设备 系列 提供 多 种 解决 方案 ， 这 些 解决 方案 可 以 集成 到 
多 种 不 同 的 环境 中 ， 包 括 企 业 和 电信 运营 商 环 境 。 每 个 设备 检测 器 都 能 提供 多 档 性 能 ， 
满足 从 45Mbps 到 千 兆 位 的 带宽 要 求 。 

Cisco IDS 4210 可 以 监控 45Mbps 的 流量 ， 适 用 于 TI/E1 和 T3 环境 。 

在 200Mbps 速度 下 ，Cisco IDS 4235 可 以 在 交换 环境 中 、 多 个 T3 子 网 上 以 及 在 
10/100/1000 接口 的 支持 下 提供 保护 。 另 外 ， 它 还 可 以 部 署 在 部 分 使 用 的 千 兆 位 链 路 上 。 

Cisco IDS 4250 不 但 能 以 500Mbps 的 速度 支持 无 与 伦比 的 性 能 ， 还 能 保护 千 兆 位子 
网 以 及 正在 穿越 交换 机 (从 多 个 子 网 汇集 流量 ) 的 流量 。 

检测 器 几乎 可 以 放置 在 需要 安全 可 视 性 的 企业 网 的 任何 网 段 上 。 


4.5.3 人 侵 防 御 系 统 


1. 入 侵 防御 系统 概述 
随 着 网 络 攻击 技术 的 发 展 ， 对 安全 技术 提出 了 新 的 挑战 。 防 火 墙 技术 和 IDS 自身 具 
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有 的 缺陷 阻止 了 它们 进一步 的 发 展 。 如 防火 墙 不 能 阻止 内 部 网 络 的 攻击 ， 对 于 网 络 上 流 
行 的 各 种 病毒 也 没有 很 好 的 防御 措施 ，IDS 只 能 检测 入 侵 而 不 能 实时 地 阻止 攻击 ， 而 且 
IDS 具有 较 高 的 漏 报 和 误 报 率 。 

在 这 种 情况 下 ， 入 侵 防 御 系 统 (Intrusion Prevention System，IPS) 成 了 新 一 代 的 网 
络 安全 技术 。IPS 提供 主动 、 实 时 的 防护 ， 其 设计 旨 在 对 网 络 流量 中 的 恶意 数据 包 进 行 
检测 ， 对 攻击 性 的 流量 进行 自动 拦截 ， 使 它们 无 法 造成 损失 。IPS 如 果 检 测 到 攻击 企图 ， 
就 会 自动 地 将 攻击 包 丢 掉 或 采取 措施 阻 断 攻击 源 ， 而 不 把 攻击 流量 放 进 内 部 网 络 。 

1) IPS 与 防火 墙 的 区 别 

从 所 处 的 位 置 来 看 ， 很 像 传统 的 防火 墙 技术 。 但 是 ， 传 统 防 火 墙 只 能 对 网 络 层 和 传 
输 层 进行 检查 ， 不 能 检测 应 用 层 的 内 容 。 防 火 墙 的 包 过 滤 技 术 不 会 针对 每 一 个 字 节 进行 
检查 ， 因 而 很 多 攻击 将 不 会 被 发 现 ， 而 IPS 不 仅 可 以 做 到 对 流量 进行 逐 字 节 的 检查 ， 而 
且 可 以 将 经 过 的 数据 包 还 原 为 完整 的 数据 流 ， 通 过 对 数据 流 的 监控 来 发 现 正在 进行 的 网 
络 攻击 。 

2) IPS 与 IDS 的 区 别 

IPS 和 IDS 的 部 署 方 式 不 同 。 串 接 式 部 署 是 IPS 和 IDS 区 别 的 主要 特征 ，IDS 产品 
在 网 络 中 是 旁 路 式 工 作 ，IPS 产品 在 网 络 中 是 串 接 式 工 作 。 串 接 式 工作 保证 所 有 网 络 数 
据 都 经 过 IPS 设备 ，IPS 检测 数据 流 中 的 恶意 代码 ， 核 对 策略 ， 在 未 转发 到 服务 器 之 前 ， 
将 信息 包 或 数据 流 拦 截 ， 如 图 4-85 所 示 。 由 于 是 在 线 操作 ， 因 而 能 保证 处 理 方法 适当 而 
且 可 预知 。 


攻击 源 防火 境 交换 机 目标 


生计- 


图 4-85 IDS 与 IPS 的 区 别 
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IPS 系统 根据 部 署 方 式 可 以 分 为 三 类 : 基于 主机 的 入 侵 防护 (HIPS)、 基 于 网 络 的 入 
侵 防护 〈NIPS) 和 应 用 入 侵 防 护 (AIP)。 

从 IPS 的 功能 模式 来 看 ， 必 须 具备 如 下 技术 特征 。 

(1) 嵌入 式 运行 。 只 有 以 嵌入 模式 运行 的 IPS 设备 才能 够 实现 实时 的 安全 防护 ， 实 
时 阻拦 所 有 可 疑 的 数据 包 。 

(2) 深入 分 析 和 控制 。IPS 必须 具有 深入 分 析 能 力 ， 以 确定 哪些 恶意 流量 已 经 被 拦 
截 ， 根 据 攻 击 类 型 、 策 略 等 来 确定 哪些 流量 应 该 被 拦截 。 

(3) 入 侵 特征 库 。 高 质量 的 入 侵 特征 库 是 IPS 高 效 运行 的 必要 条 件 ，IPS 还 应 该 定 
期 升级 入 侵 特 征 库 ， 并 快速 应 用 到 所 有 传感器 。 

(4) 高 效 处 理 能 力 。IPS 必须 具有 高 效 处 理 数据 包 的 能 力 ， 对 整个 网 络 性 能 的 影响 
保持 在 低 水 平 。 

2. 入 侵 防 御 系统 的 原理 

IPS 是 通过 直接 嵌入 到 网 络 流量 中 来 实现 这 一 功能 的 ， 即 通过 一 个 端口 接收 来 自 外 
部 系统 的 流量 ， 经 过 检查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ， 再 通过 另外 一 个 端口 
将 它 传送 到 内 部 系统 中 。 这样 有 问题 的 数据 包 , 以 及 所 有 来 自 同一 数据 流 的 后 续 数 据 包 ， 
都 能 在 IPS 设备 中 被 清除 掉 。 如 果 有 攻击 者 利用 Layer 2 数据 链 路 层 ) 至 Layer7( 应 用 
层 ) 的 漏洞 发 起 攻击 ，IPS 能 够 从 数据 流 中 检查 出 这 些 攻击 并 加 以 阻止 ， 传 统 的 防火 墙 
只 能 对 Layer3〔 网 络 层 ) 或 Layer4〔 传 输 控制 层 ) 进行 检查 ， 不 能 检测 应 用 层 的 内 容 。 
防火 墙 的 包 过 滤 技 术 不 会 针对 每 一 个 字 节 进行 检查 , 因而 也 就 无 法 发 现 攻击 活动 , 而 IPS 
可 以 做 到 逐一 字 节 的 检查 数据 包 。 所 有 流 经 IPS 的 数据 包 都 被 分 类 ， 分 类 的 依据 是 数据 
包 中 的 报头 信息 ， 如 源 卫 地址 和 目的 了 P 地 址 、 端 口号 和 应 用 域 。 每 种 过 滤器 负责 分 析 
相对 应 的 数据 包 。 通过 检查 的 数据 包 可 以 继续 前 进 , 包含 恶意 内 容 的 数据 包 就 会 被 丢弃 ， 
被 怀疑 的 数据 包 则 需要 接受 进一步 的 检查 。IPS 的 基本 工作 原理 如 图 4-86 所 示 。 


入 侵 防御 引擎 


匣 答 泣 否 硅 营 


襄 簿 泛 否 > 党 


4-86 JIPS 原理 图 
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(1) 根据 数据 包头 和 流 信息 如 源 目的 地 址 、 源 目的 端口 和 应 用 层 关 键 的 信息 每 个 数 
据 包 都 会 被 分 类 ， 同 时 协议 类 型 和 流量 统计 等 信息 都 送 到 流 处 理 模 块 分 析 、 审 计 。 

(2) 根据 数据 报 的 分 类 ， 相 关 的 过 滤器 将 被 调用 ， 用 于 检查 数据 包 的 流 状态 信息 。 

(3) 所 有 相关 过 滤器 都 是 并 行使 用 ， 如 果 任 何 数据 报 符合 过 滤 规 则 ， 则 数据 包 中 
match 位 置 1 的 数据 报 将 被 丢弃 ， 与 之 相关 的 流 信息 将 更 新 ， 指 示 系 统 删除 关于 该 数据 
流 的 信息 。 

针对 不 同 的 攻击 行为 ，IPS 需要 不 同 的 过 滤器 。 每 种 过 滤器 都 设 有 相应 的 过 滤 规则 ， 
为 了 确保 准确 性 ， 这 些 规 则 的 定义 非常 广泛 。 在 对 传输 内 容 进行 分 类 时 ， 过 滤 引 擎 还 需 
要 参照 数据 包 的 信息 参数 ， 并 将 其 解析 至 一 个 有 意义 的 域 中 进行 上 下 文 分 析 ， 以 提高 过 
滤 准 确 性 。 过 滤器 引擎 集合 了 流水 和 大 规模 并 行 处 理 硬件 ， 能 够 同时 执行 数 千 次 的 数据 
包 过 滤 检 查 。 并 行 过 滤 处 理 可 以 确保 数据 包 能 够 不 间断 地 快速 通过 系统 ， 不 会 对 速度 造 
成 影响 。 

如 果 在 网 络 边界 检查 到 攻击 包 的 同时 将 其 直接 抛弃 ， 则 攻击 包 将 无 法 到 达 目 标 ， 从 
而 可 以 从 根本 上 避免 黑客 的 攻击 。 这 样 ， 在 新 漏洞 出 现 后 ， 只 需要 撰写 一 个 过 滤 规 则 ， 
就 可 以 防止 此 类 攻击 的 威胁 了 。 

3. IPS 的 检测 技术 

目前 大 部 分 IPS 的 检测 技术 沿用 了 传统 IDS 的 相关 技术 ， 本 文 在 原 有 检测 技术 基础 
上 ， 根 据 现在 网 络 上 流行 的 各 种 攻击 技术 提炼 并 分 析 了 针对 这 些 攻击 的 更 细 粒 度 的 检测 
技术 。 为 了 提高 检测 的 精确 度 ，IPS 最 好 使 用 多 种 综合 检测 机 制 ， 实 现 深度 检测 。 

(1) 基于 特征 的 匹配 技术 。 特 征 匹配 技术 的 前 提 是 建立 入 侵 特征 库 。 入 侵 特征 库 建 
立 的 依据 是 攻击 技术 的 特征 、 应 用 协议 设计 上 的 缺陷 和 漏洞 、 系 统 误 用 模式 等 。 当 数据 
包 到 来 时 ， 该 技术 通过 检测 数据 包 内 容 来 提取 相关 信息 ， 然 后 和 入 侵 特 征 库 中 规则 进行 
匹配 ， 从 而 发 现 违 背 安 全 策略 的 行为 。 一 般 来 讲 ， 一 种 攻击 模式 可 以 用 一 个 过 程 ( 如 执 
行 一 条 指令 ) 或 一 个 输出 〈 如 获得 权限 ) 来 表示 。 该 方法 的 最 大 优点 是 只 需要 收集 相关 
的 特征 集合 ， 显 著 减 少 系统 负担 ， 且 已 相当 成 熟 。 它 与 病毒 防火 墙 采用 的 方法 一 样 ， 检 
测 准 确 率 和 效率 都 相当 高 。 但 是 ， 该 方法 存在 的 弱点 是 需要 不 断 地 升级 特征 库 以 对 付 不 
断 出 现 的 攻击 技术 ， 且 不 能 检测 到 未 知 的 攻击 ， 也 不 能 检测 混合 型 的 攻击 。 

(2) 协议 分 析 技 术 。 协 议 分 析 是 一 种 较 新 的 入 侵 检 测 技术 ， 它 充分 利用 网 络 协议 的 
高 度 有 序 性 ， 并 结合 高 速 数 据 包 捕捉 和 协议 分 析 ， 来 快速 检测 某 种 攻击 特征 。 协 议 分 析 
正在 逐渐 进入 成 熟 应 用 阶段 。 协 议 分 析 能 够 理解 不 同 协议 的 工作 原理 ， 以 此 分 析 这 些 协 
议 的 数据 包 ， 来 寻找 可 疑 或 不 正常 的 访问 行为 。 协 议 分 析 不 仅仅 基于 协议 标准 。 通 过 协 
议 分 析 ，IPS 能 够 针对 反 IDS 的 插入 (insertion) 与 规避 〈evasion) 攻击 进行 检测 。 

与 传统 防火 墙 不 同 的 是 ，IPS 不 但 要 分 析 和 跟踪 全 、ICMP、UDP、TCP 这 几 种 网 络 
层 、 传 输 层 的 协议 ， 而 且 还 要 对 HTTP、HTTPS、FTP、TFTP、SNMP、Telnet、SMTP、 
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POP、DNS、RPC、LDAP、ICQ、MSN 和 Yahoo Messenger 等 众多 的 应 用 层 协议 进行 分 
析 、 跟 踪 。 在 该 技术 中 ， 所 有 流 经 IPS 的 数据 包 首 先 经 过 预 处 理 ， 这 个 预 处 理 过 程 主要 
完成 对 数据 包 的 重组 ， 以 便 IPS 能 够 看 清楚 具体 的 应 用 协议 。 在 此 基础 上 ，IPS 根据 不 
同 应 用 协议 的 特征 与 攻击 方式 ， 将 重组 后 的 包 进 行 筛选 ， 将 一 些 可 疑 数据 包 送 入 专门 的 
特征 库 进 行 对 比 。 由 于 经 过 了 筛选 ， 可 疑 数据 量 大 大 减少 ， 因 此 可 以 大 幅度 减少 PS 处 
理 的 工作 量 ， 同 时 降低 误 报 率 。 

(3) 抗 DDoS/DoS 技术 。DDoS 攻击 是 在 DoS 攻击 的 基础 上 产生 的 一 类 攻击 方式 ， 
攻击 者 使 用 协同 控制 的 方式 控制 多 台 网 络 主机 同时 向 目标 主机 发 起 拒绝 服务 攻击 ， 构 成 
对 因特网 的 威胁 。 检 测 此 类 攻击 可 有 两 种 方法 : 基于 数据 包 特 征 的 分 析 和 基于 流量 的 
统计 。 

(4) 智能 化 检测 技术 。 随 着 人 工 智能 和 数据 挖掘 技术 的 发 展 ， 出 现 了 智能 化 检测 技 
术 。 该 方法 是 现 阶段 常用 的 神经 网 络 、 遗 传 算法 和 模糊 技术 等 ， 这 些 方 法 用 于 入 侵 特征 
的 辨识 与 泛 化 。 利 用 具有 学 习 能 力 的 专家 系统 ， 可 以 实现 知识 库 的 不 断 升 级 与 扩展 ， 使 
系统 的 防范 能 力 不 断 增强 ， 具 有 更 广泛 的 应 用 前 景 。 此 外 ， 由 于 信息 和 数据 量 庞大 ， 借 
用 数据 挖掘 的 方法 ， 包 括 关联 、 序 列 等 ， 可 以 有 效 提高 入 侵 检 测 的 精确 性 。 

(5) 蜜 缸 技术 。 美 国 L.Spizner 一 个 著名 的 蜜 饶 技 术 专 家 ， 他 曾 对 蜜 缸 做 了 这 样 的 定 
义 : 蜜 饶 是 一 种 资源 ， 它 的 价值 是 被 攻击 或 攻陷 。 这 就 意味 着 蜜 饶 是 用 来 被 探测 、 被 攻 
击 甚至 最 后 被 攻陷 的 ， 蜜 钢 不 会 修补 任何 东西 ， 这 样 就 为 使 用 者 提供 了 额外 的 、 有 价值 
的 信息 。 一 个 合格 的 蜜 缸 需要 具有 如 下 功能 : 发 现 攻击 、 产 生 警 告 、 强 大 的 记录 能 力 、 
欺骗 和 协助 调查 。 

为 了 吸引 攻击 者 ， 通 常 在 蜜 钢 系 统 上 留 下 一 些 安 全 后 门 ， 或 者 放置 一 些 网 络 攻 击 者 
希望 得 到 的 敏感 信息 ， 当 然 这 些 都 是 虚假 的 信息 。 当 有 攻击 者 进入 时 ， 蜜 钢 将 把 攻击 者 
从 关键 系统 引 开 ， 同 时 开始 收集 攻击 者 的 活动 信息 ， 并 且 吸 引 攻 击 者 在 系统 停留 ， 便 于 
记录 攻击 者 的 行为 。 蜜 镀 技 术 最 重要 的 功能 也 就 是 对 攻击 者 所 有 操作 和 行为 进行 监视 和 
记录 ， 然 后 把 结果 保存 在 日 志 服务 器 上 ， 便 于 管理 员 查 看 与 分 析 ， 为 进一步 完善 系统 的 
安全 措施 提供 依据 。 

蜜 饶 不 会 直接 提高 计算 机 网 络 安全 ， 但 它 却 是 一 种 不 可 缺少 的 主动 防御 技术 ， 目 前 
很 多 IPS 产品 中 都 集成 蜜 钢 技 术 。 

4. IPS 存在 的 问题 

目前 IPS 技术 面临 着 很 多 挑战 ， 主 要 有 以 下 4 方面 。 

(1) 单 点 故障 。 设 计 要 求 IPS 必须 以 嵌入 模式 工作 在 网 络 中 ， 这 就 可 能 造成 单 点 故 
障 。 如 果 嵌 入 式 IPS 设备 出 现 问题 ， 就 会 严重 影响 网 络 的 正常 运转 ， 如果 IPS 因 故 障 而 
关闭 ， 则 合法 用 户 无 法 访问 网 络 提供 的 服务 。 

(2) 性 能 瓶颈 。IPS 嵌入 式 接 入 ， 即 使 IPS 设备 不 出 现 故 障 ， 仍 然 是 一 个 潜在 的 网 
络 瓶颈 。 所 有 流量 的 数据 包 都 通过 IPS 进行 检测 ， 当 检测 特征 库 规 则 数量 庞大 时 ， 不 可 
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避免 地 给 传输 带 来 延迟 。 

(3) 误 报 率 和 漏 报 率 。 在 繁忙 的 网 络 当 中 , 一 旦 生成 了 警报 , 最 基本 的 要 求 就 是 IPS 
能 够 对 警报 进行 有 效 处 理 。 如 果 入 侵 特征 编写 得 不 是 十 分 完善 ， 那 么 “ 误 报 ”就 有 了 可 
乘 之 机 ,导致 合法 流量 也 有 可 能 被 意外 拦截 。 对 于 实时 在 线 的 IPS 来 说 , 一 旦 拦截 了 “ 攻 
击 性 ”数据 包 ， 就 会 对 来 自 可 疑 攻击 者 的 所 有 数据 流 进行 拦截 。 如 果 产 生 了 误 报 警报 的 
流量 恰好 是 某 个 合法 用 户 ， 其 结果 可 想 而 知 ， 这 个 用 户 整个 会 话 就 会 被 关闭 ， 而 且 此 后 
该 用 户 所 有 重新 连接 到 网 络 的 合法 访问 都 会 被 “尽职 尽责 ”的 IPS 拦截 。 

(4) 规则 库 更 新 。IPS 规则 库 与 病毒 库 一 样 ， 需 要 不 断 更 新 。 但 是 安全 事件 的 种 类 
和 数量 太 多 ， 不 易 提 取 特 征 ，IPS 更 新 规则 库 难度 较 大 。 


4.6 访问 控制 技术 


4.6.1 访问 控制 技术 概述 


互联 网 络 的 蓬勃 发 展 ， 为 信息 资源 的 共享 提供 了 更 加 完善 的 手段 ， 企 业 在 信息 资源 
共享 的 同时 也 要 阻止 非 授权 用 户 对 企业 敏感 信息 的 访问 。 访 问 控制 的 目的 是 为 了 保护 企 
业 在 信息 系统 中 存储 和 处 理 的 信息 的 安全 。 

1. 访问 控制 的 基本 模型 

访问 控制 是 指 主体 依据 某 些 控制 策略 或 权限 对 客体 本 身 或 是 其 资源 进行 的 不 同 授 
权 访 问 。 访 问 控制 包括 三 个 要 素 : 主体 、 客 体 和 控制 策略 。 访 问 控制 模型 是 一 种 从 访问 
控制 的 角度 出 发 ， 描 述 安全 系统 ， 建 立 安全 模型 的 方法 。 

(1) 主体 (Subject，S): 是 可 以 对 其 他 实体 施加 动作 的 主动 实体 。 有 时 也 称 其 为 用 
户 〈User，U) 或 访问 者 (被 授权 使 用 计算 机 的 人 员 )。 主 体 的 含义 是 广泛 的 ， 可 以 是 用 
户 所 在 的 组 织 〈 称 为 用 户 组 )、 用 户 本 身 ， 也 可 以 是 用 户 使 用 的 计算 机 终端 、 卡 机 和 手持 
终端 〈 无 线 ) 等， 甚至 可 以 是 应 用 服务 程序 或 进程 。 

(2) 客体 (Object，O): 是 接受 其 他 实体 访问 的 被 动 实体 。 客 体 的 概念 也 很 广泛 ， 
凡是 可 以 被 操作 的 信息 、 资 源 、 对 象 都 可 以 认为 是 客体 。 在 信息 社会 中 ， 客 体 可 以 是 信 
息 、 文 件 和 记录 等 的 集合 体 ， 也 可 以 是 网 路 上 的 硬件 设施 ， 无 线 通信 中 的 终端 ， 甚 至 一 
个 客体 可 以 包含 另外 一 个 客体 。 

(3) 控制 策略 (KS): 是 主体 对 客体 的 操作 行为 集 和 约束 条 件 集 。 简 单 地 讲 ， 控 制 
策略 是 主体 对 客体 的 访问 规则 集 ， 这 个 规则 集 直 接 定义 了 主体 对 客体 的 作用 行为 和 客体 
对 主体 的 条 件 约束 。 访 问 策略 体现 了 一 种 授权 行为 ， 也 就 是 客体 对 主体 的 权限 允许 ， 这 
种 允许 不 超越 规则 集 ， 由 其 给 出 。 

当主 体 S 提出 一 系列 正常 的 请 求 信息 11，…，In， 通 过 信息 系统 的 入 口 到 达 控 制 规 
则 集 KS 监视 的 监控 器 ， 由 KS 判断 是 否 人 允许 或 拒绝 这 次 请 求 ， 因 此 这 种 情况 下 ， 必 须 
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先 要 确认 是 合法 的 主体 , 而 不 是 假冒 的 欺骗 者 ， 也 就 是 对 主体 进行 认证 。 主体 通过 验证 ， 
才能 访问 客体 ， 但 并 不 保证 其 有 权限 可 以 对 客体 进行 操作 。 客 体 对 主体 的 具体 约束 由 访 
问 控 制 表 来 控制 实现 , 对 主体 的 验证 一 般 会 鉴别 用 户 的 标识 和 用 户 密码 。 用 户 标 识 (User 
Identification，UID) 是 一 个 用 来 鉴别 用 户 身 份 的 字符 串 ， 每 个 用 户 有 且 只 能 有 唯一 的 一 
个 用 户 标识 ， 以 便 与 其 他 用 户 区 别 。 当 一 个 用 户 注册 进入 系统 时 ， 他 必须 提供 其 用 户 标 
识 ， 然 后 系统 执行 一 个 可 靠 的 审查 来 确信 当前 用 户 是 对 应 用 户 标识 的 那个 用 户 。 

访问 控制 的 实现 首先 要 考虑 对 合法 用 户 进行 验证 ， 然 后 是 对 控制 策略 的 选用 与 管 
理 ， 最 后 要 对 没有 非法 用 户 或 是 越权 操作 进行 管理 。 所 以 ， 访 问 控制 包括 认证 、 控 制 策 
略 实现 和 审计 三 方面 的 内 容 。 

(1) 认证 。 主 体 对 客体 的 识别 认证 和 客体 对 主体 检验 认证 。 主 体 和 客体 的 认证 关系 
是 相互 的 ， 当 一 个 主体 受到 另外 一 个 客体 的 访问 时 ， 这 个 主体 也 就 变 成 了 客体 。 一 个 实 
体 可 以 在 某 一 时 刻 是 主体 ， 而 在 另 一 时 刻 是 客体 ， 这 取决 于 当前 实体 的 功能 是 动作 的 执 
行者 还 是 动作 的 被 执行 者 。 

(2) 控制 策略 的 具体 实现 。 如 何 设 定 规则 集合 从 而 确保 正常 用 户 对 信息 资源 的 合法 
使 用 ， 既 要 防止 非法 用 户 ， 也 要 考虑 敏感 资源 的 泄漏 。 对 于 合法 用 户 而 言 ， 更 不 能 越权 
行使 控制 策略 所 赋予 其 权利 以 外 的 功能 。 

(3) 审计 。 审 计 的 重要 意义 在 于 ， 例 如 客体 的 管理 者 即 管理 员 有 操作 赋予 权 ， 他 有 
可 能 滥用 这 一 权利 ， 这 是 无 法 在 策略 中 加 以 约束 的 。 必 须 对 这 些 行 为 进行 记录 ， 从 而 达 
到 威慑 和 保证 访问 控制 正常 实现 的 目的 。 

2. 访问 控制 的 实现 技术 

建立 访问 控制 模型 和 实现 访问 控制 都 是 抽象 和 复杂 的 行为 ， 实 现 访 问 的 控制 不 仅 要 
保证 授权 用 户 使 用 的 权限 与 其 所 拥有 的 权限 对 应 ， 制 止 非 授 权 用 户 的 非 授 权 行 为 ， 还 要 
保证 敏感 信息 的 交叉 感染 。 为 了 便于 讨论 这 一 问题 ， 我 们 以 文件 的 访问 控制 为 例 对 访问 
控制 的 实现 做 具体 说 明 。 通 常用 户 访问 信息 资源 〈 文 件 或 是 数据 库 )， 可 能 的 行为 有 读 、 
写 和 管理 。 为 方便 起 见 ， 用 Read 或 是 R 表示 读 操作 ，Wirite 或 是 W 表示 写 操 作 ，Own 
或 是 O 表示 管理 操作 。 之 所 以 将 管理 操作 从 读 写 中 分 离 出 来 ， 是 因为 管理 员 也 许 会 对 控 
制 规则 本 身 或 是 文件 的 属性 等 做 修改 。 

1) 访问 控制 矩阵 

访问 控制 矩阵 (Access Control Matrix, ACM) 是 通过 矩阵 形式 表示 访问 控制 规则 和 
授权 用 户 权限 的 方法 。 也 就 是 说 ， 对 每 个 主体 而 言 ， 都 拥有 对 哪些 客体 的 哪些 访问 权限 ; 
而 对 客体 而 言 ， 又 有 哪些 主体 对 他 可 以 实施 访问 。 将 这 种 关连 关系 加 以 阐述 ， 就 形成 了 
控制 矩阵 。 其 中 ， 特 权 用 户 或 特权 用 户 组 可 以 修改 主体 的 访问 控制 权限 。 访 问 控制 的 实 
现 如 表 4-9 所 示 。 
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表 4-9 访问 控制 矩阵 


Object 1 Object 2 Object7 
Subject 1 Read, write Own, read, write 
Subject 2 Read, write Own, read, write 


Subject i 


访问 矩阵 是 以 主体 为 行 索 引 ， 以 客体 为 列 索 引 的 矩阵 ， 和 矩阵 中 的 每 一 个 元 素 表示 一 
组 访问 方式 ， 是 若干 访问 方式 的 集合 。 和 矩阵 中 第 i 行 第 j 列 的 元 素 记 录 着 第 i 个 主体 S; 
可 以 执行 的 对 第 j 个 客体 0; 的 访问 方式 ， 如 My 等 于 表示 S 可 以 对 0; 进 行 读 和 写 访问 。 

访问 控制 矩阵 的 实现 很 易于 理解 ， 但 是 查找 和 实现 起 来 有 一 定 的 难度 。 而 且 ， 如 果 
用 户 和 文件 系统 要 管理 的 文件 很 多 ， 那 么 控制 矩阵 将 会 成 几何 级 数 增长 。 因 为 在 大 型 系 
统 中 访问 矩阵 很 大 而 且 其 中 会 有 很 多 空 值 ， 所 以 目前 使 用 的 实现 技术 都 不 是 保存 整个 访 
问 和 矩阵 ， 而 是 基于 访问 矩阵 的 行 或 者 列 来 保存 信息 ， 下 面 分 别 介绍 。 

2) 访问 控制 表 

访问 控制 表 (Access Control Lists，ACLs) 是 目前 最 流行 、 使 用 最 多 的 访问 控制 实 
现 技术 。 每 个 客体 有 一 个 访问 控制 表 , 是 系统 中 每 一 个 有 权 访 问 这 个 客体 的 主体 的 信息 。 
这 种 实现 技术 实际 上 是 按 列 保存 访问 矩阵 。 访 问 控制 表 提 供 了 针对 客体 的 方便 的 查询 方 
法 ， 通 过 查询 一 个 客体 的 访问 控制 表 很 容易 决定 某 一 个 主体 对 该 客体 的 当前 访问 权限 。 
删除 客体 的 访问 权限 也 很 方便 ， 把 该 客体 的 访问 控制 表 整 个 替换 为 空 表 即 可 。 但 是 用 访 
问 控 制 表 来 查询 一 个 主体 对 所 有 客体 的 所 有 访问 权限 是 很 困难 的 ， 必 须 查 询 系统 中 所 有 
客体 的 访问 控制 表 来 获得 其 中 每 一 个 与 该 主体 有 关 的 信息 。 类 似 地 ， 删 除 一 个 主体 对 所 
有 客体 的 所 有 访问 权限 也 必须 查询 所 有 客体 的 访问 控制 表 ， 删 除 与 该 主体 相关 的 信息 。 
一 些 流 行 的 操作 系统 使 用 了 简化 的 访问 控制 表 来 实现 它们 简单 的 访问 控制 安全 机 制 ， 例 
如 UNIX 的 保护 位 机 制 就 是 这 样 一 种 简化 形式 的 访问 控制 表 。 在 这 些 系统 中 ， 访 问 控制 
表 只 包括 客体 主人 、 主 人 所 属 主体 组 等 对 该 客体 的 访问 权限 , 所 以 访问 控制 表 可 以 很 小 。 
另 一 方面 ， 一 些 系统 采用 了 许多 大 型 的 访问 控制 表 来 实现 其 访问 控制 ， 其 中 包含 了 一 些 
很 复杂 的 规则 来 决定 系统 中 主体 何 时 以 及 以 何 种 方式 对 客体 进行 访问 。 

3) 能 力 表 

能 力 表 〈Capabilities Lists》 对 应 于 访问 控制 表 ， 这 种 实现 技术 实际 上 是 按 行 保存 访 
问 矩 阵 。 每 个 主体 有 一 个 能 力 表 ， 是 该 主体 对 系统 中 每 一 个 客体 的 访问 权限 信息 。 使 用 
能 力 表 实现 的 访问 控制 系统 可 以 很 方便 地 查询 某 一 个 主体 的 所 有 访问 权限 ， 只 需要 遍历 
这 个 主体 的 能 力 表 即 可 。 然而 , 查询 对 某 一 个 客体 具有 访问 权限 的 主体 信息 就 很 困难 了 ， 
必须 查询 系统 中 所 有 主体 的 能 力 表 。20 世纪 70 年 代 ， 很 多 操作 系统 的 访问 控制 安全 机 
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制 是 基于 能 力 表 实现 的 ， 但 并 没有 取得 商业 上 的 成 功 ， 现 代 的 操作 系统 大 多 改 用 基于 访 
问 控制 表 的 实现 技术 ， 只 有 少数 实验 性 的 安全 操作 系统 使 用 基于 能 力 表 的 实现 技术 。 在 
一 些 分 布 式 系统 中 ， 也 使 用 了 能 力 表 和 访问 控制 表 相 结合 的 方法 来 实现 其 访问 控制 安全 
机 制 。 

4) 授权 关系 表 

访问 矩阵 也 有 既 不 对 应 于 行 也 不 对 应 于 列 的 实现 技术 ， 那 就 是 对 应 访问 和 矩阵 中 每 一 
个 非 空 元 素 的 实现 技术 一 一 授权 关系 表 (authorization relations )。 授 权 关 系 表 的 每 一 行 (或 
者 说 元 组 ) 就 是 访问 矩阵 中 的 一 个 非 空 元 素 ， 是 某 一 个 主体 对 应 于 某 一 个 客体 的 访问 权 
限 信息 。 如 果 授 权 关 系 表 按 主体 排序 ， 查 询 时 就 可 以 得 到 能 力 表 的 效率 ;如 果 按 客体 排 
序 ， 查 询 时 就 可 以 得 到 访问 控制 表 的 效率 。 安 全 数据 库 系 统 通常 用 授权 关系 表 来 实现 其 
访问 控制 安全 机 制 。 

3. 访问 控制 表 介绍 

访问 控制 表 是 目前 最 流行 、 使 用 最 多 的 访问 控制 实现 技术 。 访 问 控制 列表 是 路 由 器 
接口 的 指令 列表 ， 用 来 控制 端口 进出 的 数据 包 。ACL 适用 于 所 有 的 被 路 由 协议 ， 如 IP、 
IPX 和 AppleTalk 等 。 

ACL 的 定义 也 是 基于 每 一 种 协议 的 。 如 果 路 由 器 接口 配置 成 为 支持 三 种 协议 (IP、 
AppleTalk 以 及 IPX) 的 情况 ， 那 么 ， 用 户 必须 定义 三 种 ACL 来 分 别 控制 这 三 种 协议 的 
数据 包 。 

1) ACL 的 作用 

(1) 可 以 限制 网 络 流量 、 提 高 网 络 性 能 。 例 如 ， 可 以 根据 数据 包 的 协议 ， 指 定数 据 
包 的 优先 级 。 

(2) 提供 对 通信 流量 的 控制 手段 。 例 如 ， 可 以 限定 或 简化 路 由 更 新 信息 的 长 度 ， 从 
而 限制 通过 路 由 器 某 一 网 段 的 通信 流量 。 

(3) 是 提供 网 络 安全 访问 的 基本 手段 例如， 允许 主机 A 访问 某 资源 网 络 ， 而 拒绝 
主机 B 访 问 。 

(4) 可 以 在 路 由 器 端口 处 决定 哪 种 类 型 的 通信 流量 被 转发 或 被 阻塞 。 例 如， 用 户 可 
以 允许 E-mail 通信 流量 被 路 由 ， 拒 绝 所 有 的 Telnet 通信 流量 。 

2) ACL 的 执行 过 程 

一 个 端口 执行 哪 条 ACL,， 这 需要 按照 列表 中 的 条 件 语 句 执行 顺序 来 判断 。 如 果 一 个 
数据 包 的 报头 跟 表 中 某 个 条 件 判断 语句 相 匹 配 ， 那 么 后 面 的 语句 就 将 被 忽略 ， 不 再 进行 
检查 。 数 据 包 只 有 在 跟 第 一 个 判断 条 件 不 匹配 时 ， 它 才 被 交 给 ACL 中 的 下 一 个 条 件 判 
断 语 句 进行 比较 。 如 果 匹 配 〈 假 设 为 允许 发 送 )， 则 不 管 是 第 一 条 还 是 最 后 一 条 语句 ， 数 
据 都 会 立即 发 送 到 目的 接口 。 如 果 所 有 的 ACL 判断 语句 都 检测 完毕 ， 仍 没有 匹配 的 语 
句 出口 ， 则 该 数据 包 将 视 为 被 拒绝 而 被 丢弃 〈 这 里 要 注意 ，ACL 不 能 对 本 路 由 器 产生 的 
数据 包 进 行 控制 )。 
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3) ACL 的 分 类 

目前 有 两 种 主要 的 ACL: 标准 ACL 和 扩展 ACL。 这 两 种 ACL 的 区 别 是 , 标准 ACL 
只 检查 数据 包 的 源 地 址 ; 扩展 ACL 既 检查 数据 包 的 源 地 址 ， 也 检查 数据 包 的 目的 地 址 ， 
同时 还 可 以 检查 数据 包 的 特定 协议 类 型 、 端 口号 等 。 网 络 管理 员 可 以 使 用 标准 ACL 阻 
止 来 自 某 一 网 络 的 所 有 通信 流量 ， 或 者 允许 来 自 某 一 特定 网 络 的 所 有 通信 流量 ， 或 者 拒 
绝 某 一 协议 簇 〈 如 卫 ) 的 所 有 通信 流量 。 扩 展 ACL 比 标准 ACL 提供 了 更 广泛 的 控制 范 
围 。 例 如 ， 网 络 管理 员 如 果 希 望 做 到 “人 允许 外 来 的 Web 通信 流量 通过 ， 拒 绝 外 来 的 FTP 
和 Telnet 等 通信 流量 ” 那么 ， 他 可 以 使 用 扩展 ACL 来 达到 目的 , 标准 ACL 不 能 控制 得 
这 么 精确 。 

4) ACL 的 配置 

ACL 的 配置 分 为 如 下 两 步 。 

(1) 在 全 局 配置 模式 下 ， 使 用 下 列 命令 创建 ACL: 


Router (config)# access-list access-list-number {permit | deny } 
{test-conditions} 


其 中 ，access-list-number 为 ACL 的 表 号 。 人 们 使 用 较 频 繁 的 表 号 是 标准 的 卫 ACL 
(1 一 99) 和 扩展 的 人 ACL 〈100 一 199)。 在 路 由 器 中 ， 如 果 使 用 ACL 的 表 号 进行 配置 ， 
则 列表 不 能 插入 或 删除 行 。 如 果 列 表 要 插入 或 删除 一 行 ， 必 须 先 去 掉 所 有 ACL， 然 后 重 
新 配置 。 当 ACL 中 条 数 很 多 时 ， 这 种 改变 非常 烦琐 。 一 个 比较 有 效 的 解决 办 法 是 : 在 
远程 主机 上 启用 一 个 TFTP 服务 器 ， 先 把 路 由 器 配置 文件 下 载 到 本 地 ， 利 用 文本 编辑 器 
修改 ACL 表 , 然后 将 修改 好 的 配置 文件 通过 TFTP 传 回路 由 器 。 这 里 需要 特别 注意 的 是 ， 
在 ACL 的 配置 中 ， 如 果 删 掉 一 条 表 项 ， 其 结果 是 删 掉 全 部 ACL， 所 以 在 配置 时 一 定 要 
小 心 。 

(2) 在 接口 配置 模式 下 ， 使 用 access-group 命令 ACL 应 用 到 某 一 接口 上 : 


Router (config-if)# {protocol} access-group access-list-number {in | out } 


其 中 ，in 和 out 参数 可 以 控制 接口 中 不 同方 向 的 数据 包 ， 如 果 不 配置 该 参数 ， 默 认 
为 out。ACL 在 一 个 接口 可 以 进行 双向 控制 ， 即 配置 两 条 命令 ， 一 条 为 n， 一 条 为 out， 
两 条 命令 执行 的 ACL 表 号 可 以 相同 ， 也 可 以 不 同 。 但 是 ， 在 一 个 接口 的 一 个 方向 上 ， 
只 能 有 一 个 ACL 控制 。 

5) 标准 ACL 举例 

使 用 标准 版 本 的 access-list 全 局 配置 命令 来 定义 一 个 带 有 数字 的 标准 ACL。 

例如 : 


access-list 1 permit 172.16.0.0 0.0.255.255 


使 用 这 个 命令 的 no 形式 ， 可 以 删除 一 个 标准 ACL。 语 法 是 : 
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Router (config)# no access-list access-list-number 
例如 : 


no access-list 1 


命令 paccess-group 将 一 个 存在 的 扩展 ACL 和 一 个 端口 关联 。 记 住 : 一 个 端口 的 一 
个 方向 的 某 套 协议 ， 只 允许 存在 一 个 ACL。 
下 面 以 图 4-87 的 结构 为 例 ， 介 绍 标准 ACL 的 使 用 。 


A 


HL < 、 


( Non- 
172.16.3.0 ~ 172.16.0.0 172.16.4.0 


172.16.4.13 


图 4-87 示例 结构 图 


实例 : E0 和 El 端口 只 允许 来 自 于 网 络 172.16.0.0 的 数据 报 被 转发 ， 其 余 的 将 被 
阻止 。 

第 一 个 ACL 命令 用 permit 允许 来 自 于 此 指定 网 络 的 数据 流 ， 通 配 掩 码 0.0.255.255 
表明 要 检查 匹配 人 P 地 址 中 的 网 络 位 (前 16 位 )。 最 后 将 ACL 关联 到 端口 E0 和 El 。 


access-list 1 permit 172.16.0.0 0.0.255.255 


(implicit deny all - not visible in the list) 


(access-group 1 deny 0.0.0.0-255.255.255.255) 


interface ethernet 0 
ip access-group 1 out 
interface ethernet 1 


ip access-group 1 out 


4. 访问 控制 的 模型 发 展 

访问 控制 安全 模型 一 般 包 括 主体 、 客 体 ， 以 及 为 识别 和 验证 这 些 实体 的 子 系统 和 控 
制 实体 间 访 问 的 参考 监视 器 。 由 于 网 络 传输 的 需要 ， 访 问 控制 的 研究 方 发 展 很 快 ， 有 许 
多 访问 控制 模型 被 提出 来 。 建 立 规范 的 访问 控制 模型 ， 是 实现 严格 访问 控制 策略 所 必须 


664 网 络 规划 设计 师 教 程 


的 。20 世纪 70 年 代 ，Harrison、Ruzzo 和 Ullman 提出 了 HRU 模型 。 接 着 ，Jones 等 人 
在 1976 年 提出 了 Take-Grant 模型 。 随 后 ，1985 年 美国 军 方 提出 可 信 计 算 机 系统 评估 准 
则 TCSEC， 其 中 描述 了 两 种 著名 的 访问 控制 策略 : 自主 访问 控制 模型 (DAC) 和 强制 访 
问 控制 模型 (MAC)。 基 于 角色 的 访问 控制 (RBAC) 是 由 Ferraiolo 和 Kuhn 在 1992 年 
提出 的 。 考 虑 到 网 络 安全 和 传输 流 ， 又 提出 了 基于 对 象 和 基于 任务 的 访问 控制 。 后 面 几 
节 将 对 一 些 重 要 模型 作 简 要 阐述 。 


4.6.2 ”传统 访问 控制 技术 


1. 自主 型 访问 控制 

允许 合法 用 户 以 用 户 或 用 户 组 的 身份 访问 策略 规定 的 客体 ， 同 时 阻止 非 授 权 用 户 访 
问 客体 ， 某 些 用 户 还 可 以 自主 地 把 自己 所 拥有 的 客体 的 访问 权限 授予 其 他 用 户 。 自 主 访 
问 控制 又 称 为 任意 访问 控制 。Linux、UNIX、Windows NT 或 是 Server 版 本 的 操作 系统 
都 提供 自主 访问 控制 的 功能 。 在 实现 上 ， 首 先 要 对 用 户 的 身份 进行 鉴别 ， 然 后 就 可 以 按 
照 访问 控制 列表 所 赋予 用 户 的 权限 允许 和 限制 用 户 使 用 客体 的 资源 。 主 体 控 制 权限 的 修 
改 通常 由 特权 用 户 或 是 特权 用 户 〈 管 理 员 ) 组 实现 。 

自主 访问 控制 模型 的 特点 是 授权 的 实施 主体 (可 以 授权 的 主体 ; 管理 授权 的 客体 ; 
授权 组 ) 自主 负责 赋予 和 回收 其 他 主体 对 客体 资源 的 访问 权限 。DAC 模型 一 般 采 用 访问 
控制 矩阵 和 访问 控制 列表 来 存放 不 同 主体 的 访问 控制 信息 ， 从 而 达到 对 主体 访问 权限 的 
限制 目的 。 

自主 访问 控制 对 用 户 提供 的 这 种 灵活 的 数据 访问 方式 ， 使 得 DAC 广泛 应 用 在 商业 
和 工业 环境 中 。 但 是 DAC 技术 存在 明显 的 不 足 ， 主 要 体现 在 以 下 几 方面 。 

(1) 既然 主体 可 任意 在 系统 中 规定 谁 可 以 访问 它们 的 资源 ， 那 么 系统 管理 就 难以 确 
定 哪些 用 户 对 哪些 资源 有 访问 权限 ， 不 利于 实现 统一 的 全 局 访问 控制 。 

(2) 在 许多 组 织 中 ， 用 户 对 他 们 所 能 访问 的 资源 并 不 具有 所 有 权 ， 组 织 本 身 才 是 系 
统 中 资源 的 真正 拥有 者 。 而 且 ， 各 组 织 希 望 访 问 控制 实现 能 与 组 织 内 部 的 安全 策略 相 一 
致 ， 并 由 管理 部 门 统一 实施 访问 控制 ， 不 允许 用 户 自主 地 处 理 ， 而 DAC 却 存 在 着 用 户 
滥用 职权 的 问题 。 

(3) 用 户 间 的 关系 不 能 在 系统 中 体现 出 来 ， 不 易 管理 。 

(4) 信息 容易 泄露 ， 不 能 抵御 特洛伊 木马 的 攻击 。 特 洛 伊 木马 是 嵌入 在 合法 程序 中 
的 一 段 以 窃取 或 破坏 信息 为 目的 的 恶意 代码 。 在 自主 型 访问 控制 下 ， 一 旦 带 有 特洛伊 木 
马 的 应 用 程序 被 激活 ， 特 洛 伊 木马 便 可 以 任意 泄露 和 破坏 接触 到 的 信息 ， 甚 至 改变 这 些 
信息 的 访问 授权 模式 。 

2. 强制 型 访问 控制 

最 开始 为 了 实现 比 DAC 更 为 严格 的 访问 控制 策略 ， 美 国政 府 和 军 方 开发 了 各 种 各 
样 的 控制 模型 ， 这 些 方案 或 模型 都 有 比较 完善 的 和 详尽 的 定义 。 随 后 ， 逐 渐 形 成 强制 访 
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问 控制 模型 (Mandatory Access Control Model，MAC Model)， 并 得 到 广泛 的 商业 关注 和 
应 用 。 在 DAC 访问 控制 中 ， 用 户 和 客体 资源 都 被 赋予 一 定 的 安全 级 别 ， 用 户 不 能 改变 
自身 和 客体 的 安全 级 别 ， 只 有 管理 员 才能 够 确定 用 户 和 组 的 访问 权限 。 和 DAC 模型 不 
同 的 是 ，MAC 是 一 种 多 级 访问 控制 策略 ， 它 的 主要 特点 是 系统 对 访问 主体 和 受 控 对 象 
实行 强制 访问 控制 ， 系 统 事先 给 访问 主体 和 受 控 对 象 分 配 不 同 的 安全 级 别 属 性 ， 在 实施 
访问 控制 时 ， 系 统 先 对 访问 主体 和 受 控 对 象 的 安全 级 别 属性 进行 比较 ， 再 决定 访问 主体 
能 否 访问 该 受 控 对 象 。MAC 对 访问 主体 和 受 控 对 象 标识 两 个 安全 标记 : 一 个 是 具有 偏 
序 关系 的 安全 等 级 标记 另 一 个 是 非 等 级 分 类 标记 。 安 全 等 级 的 层次 在 上 节 做 过 曾 述 ， 
主体 和 客体 在 分 属 不 同 的 安全 类 别 时 ， 都 属于 一 个 固定 的 安全 类 别 SC，SC 就 构成 一 个 
偏 序 关 系 〈 如 TS 表示 绝密 级 ， 就 比 密级 S 要 高 )。 当 主体 s 的 安全 类 别 为 TS， 而 客体 o 
的 安全 类 别 为 S 时 ， 用 偏 序 关 系 可 以 表述 为 SC(s)>SC(o)。 考 虑 到 偏 序 关系 ， 主 体 对 客 
体 的 访问 主要 有 如 下 4 种 方式 。 

(1) 向 下 读 (rd，read down): 主体 安全 级 别 高 于 客体 信息 资源 的 安全 级 别 时 允许 
查阅 的 读 操作 。 

(2) 向 上 读 (mm，read up): 主体 安全 级 别 低 于 客体 信息 资源 的 安全 级 别 时 允许 的 读 
操作 。 

(3) 向 下 写 (wd，write down): 主体 安全 级 别 高 于 客体 信息 资源 的 安全 级 别 时 允许 
执行 的 动作 或 是 写 操作 。 

(4) 向 上 写 (wu，write up): 主体 安全 级 别 低 于 客体 信息 资源 的 安全 级 别 时 允许 执 
行 的 动作 或 是 写 操作 。 

由 于 MAC 通过 分 级 的 安全 标签 实现 了 信息 的 单 向 流通 ， 因 此 它 一 直 被 军 方 采 用 ， 
其 中 最 著名 的 是 Bell-LaPadula 模型 和 Biba 模型 .Bell- LaPadula 模型 具有 只 人 允许 向 下 读 、 
向 上 写 的 特点 ， 可 以 有 效 地 防止 机 密 信息 向 下 级 泄露 ，Biba 模型 则 具有 不 允许 向 下 读 、 
向 上 写 的 特点 ， 可 以 有 效 地 保护 数据 的 完整 性 。 

MAC 的 不 足 主 要 体现 在 以 下 两 方面 。 

(1) 用 户 共享 数据 的 机 制 不 灵活 。MAC 不 允许 一 个 进程 生成 共享 文件 ， 防 止 进程 
通过 共享 文件 将 信息 从 一 个 进程 转移 到 另 一 个 进程 ， 但 这 对 合法 用 户 却 是 一 种 限制 。 

(2) 应 用 的 领域 比较 窗 ， 使 用 不 灵活 ， 一 般 只 用 于 军 方 等 具有 明显 等 级 观 的 行业 
领域 。 

尽管 很 多 学 者 对 MAC 进行 了 种 种 改进 ， 使 得 MAC 技术 更 加 完善 ， 但 从 总 体 上 看 ， 
这 些 改进 大 都 针对 具体 应 用 开发 ， 灵 活性 差 ， 所 产生 的 影响 不 大 。 

MAC 模型 和 DAC 模型 属于 传统 的 访问 控制 模型 , 对 这 两 种 模型 研究 的 也 比较 充分 。 
在 实现 上 ，MAC 和 DAC 通常 为 每 个 用 户 赋 予 对 客体 的 访问 权限 规则 集 ， 考 虑 到 管理 的 
方便 , 在 这 一 过 程 中 还 经 常 将 具有 相同 职能 的 用 户 聚 为 组 , 然后 再 为 每 个 组 分 配 许可 权 。 
用 户 自主 地 把 自己 所 拥有 的 客体 的 访问 权限 授予 其 他 用 户 的 这 种 做 法 ， 其 优点 是 显 而 易 
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见 的 。 但 是 如 果 企 业 的 组 织 结构 或 是 系统 的 安全 需求 出 于 变化 的 过 程 中 时 ， 那 么 就 需要 
进行 大 量 繁琐 的 授权 变动 ， 系 统管 理 员 的 工作 将 变 得 非常 繁重 ， 更 主要 的 是 容易 发 生 错 
误 造 成 一 些 意 想 不 到 的 安全 漏洞 。 考 虑 到 上 述 因素 ， 我 们 引入 新 的 机 制 加 以 解决 。 首 先 
要 介绍 一 下 角色 的 概念 ， 角 色 (role〉 是 指 一 个 可 以 完成 一 定 事务 的 命名 组 ， 不 同 的 角 
色 通 过 不 同 的 事务 来 执行 各 自 的 功能 。 事务 (transaction) 是 指 一 个 完成 一 定 功能 的 过 程 ， 
可 以 是 一 个 程序 或 程序 的 一 部 分 。 角 色 是 代表 具有 某 种 能 力 的 人 或 是 某 些 属 性 的 人 的 一 
类 抽象 。 角 色 和 组 的 主要 区 别 在 于 : 用 户 属于 组 是 相对 固定 的 ， 而 用 户 能 被 指派 到 哪些 
角色 则 受 时 间 、 地 点 、 事 件 等 诸多 因素 影响 。 角 色 比 组 的 抽象 级 别 要 高 。 角 色 和 组 的 关 
系 可 以 这 样 考虑 ， 作 为 饰演 的 角色 ， 我 是 一 名 学 生 ， 我 就 只 能 享有 学 生 的 权限 (区 别 于 
老师 )， 但 是 我 又 处 于 某 个 班级 中 ， 就 同时 只 能 享有 本 组 组 员 的 权限 。 


4.6.3 基于 角色 的 访问 控制 技术 


基于 角色 的 访问 控制 (Role-based Access，RBAC) 模型 的 基本 思想 是 将 访问 许可 权 
分 配给 一 定 的 角色 ， 用 户 通过 饰演 不 同 的 角色 获得 角色 所 拥有 的 访问 许可 权 。 这 是 因为 
在 很 多 实际 应 用 中 ， 用 户 并 不 是 可 以 访问 的 客体 信息 资源 的 所 有 者 〈 这 些 信息 属于 企业 
或 公司 ), 这 样 , 访问 控制 应 该 基于 员工 的 职务 而 不 是 基于 员工 在 哪个 组 或 是 谁 信息 的 所 
有 者 ， 即 访问 控制 是 由 各 个 用 户 在 部 门 中 所 担任 的 角色 来 确定 的 。 例 如 ， 一 个 学 校 可 以 
有 教工 、 老 师 、 学 生 和 其 他 管理 人 员 等 角色 。 

RBAC 从 控制 主体 的 角度 出 发 ， 根 据 管理 中 相对 稳定 的 职权 和 责任 来 划分 角色 ， 将 
访问 权限 与 角色 相 联系 ， 这 点 与 传统 的 MAC 和 DAC 将 权限 直接 授予 用 户 的 方式 不 同 。 
通过 给 用 户 分 配合 适 的 角色 ， 让 用 户 与 访问 权限 相 联系 。 角 色 成 为 访问 控制 中 访问 主体 
和 受 控 对 象 之 间 的 一 座 桥梁 。 

角色 可 以 看 作 是 一 组 操作 的 集合 ， 不 同 的 角色 具有 不 同 的 操作 集 ， 这 些 操作 集 由 系 
统管 理 员 分 配给 角色 。 在 下 面 的 实例 中 ， 假 设 Tch1，Tch2，Teh3，…，Tchi 是 对 应 的 教 
师 ，Studl，Smd2，Stud3，…，Studj 是 相应 的 学 生 ，Mngl，Mng 2，Mng 3，…，Mngk 
是 教务 处 管理 人 员 ， 那 么 老师 的 权限 为 ThMN={ 查 询 成 绩 、 上 传 所 教 课 程 的 成 绩 };， 学 
生 的 权限 为 Sud MN={ 查 询 成 绩 、 反 映 意见 }; 教务 管理 人 员 的 权限 为 MngMN={ 查 询 、 
修改 成 绩 、 打 印 成 绩 清单 }。 那 么 ， 依 据 角 色 的 不 同 ， 每 个 主体 只 能 执行 自己 所 制定 的 访 
问 功 能 。 用 户 在 一 定 的 部 门 中 具有 一 定 的 角色 ， 其 所 执行 的 操作 与 其 所 扮演 的 角色 的 职 
能 相 匹配 ， 这 正 是 基于 角色 的 访问 控制 的 根本 特征 ， 即 依据 RBAC 策略 ， 系 统 定义 了 各 
种 角色 ， 每 种 角色 可 以 完成 一 定 的 职能 ， 不 同 的 用 户 根据 其 职能 和 责任 被 赋予 相应 的 角 
色 ， 一 旦 某 个 用 户 成 为 某 角 色 的 成 员 ， 则 此 用 户 可 以 完成 该 角色 所 具有 的 职能 。 

系统 管理 员 负责 授予 用 户 各 种 角色 的 成 员 资格 或 撤消 某 用 户 具有 的 某 个 角色 。 例 
如 ， 学 校 新 进 一 名 教师 Tchx， 那 么 系统 管理 员 只 需 将 Tehx 添加 到 教师 这 一 角色 的 成 员 
中 即 可 ， 而 无 需 对 访问 控制 列表 做 改动 。 同 一 个 用 户 可 以 是 多 个 角色 的 成 员 ， 即 同一 个 
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用 户 可 以 扮演 多 种 角色 ， 如 一 个 用 户 可 以 是 老师 ， 同 时 也 可 以 作为 进修 的 学 生 。 同 样 ， 
一 个 角色 可 以 拥有 多 个 用 户 成 员 ， 这 与 现实 是 一 致 的 ， 一 个 人 可 以 在 同一 部 门 中 担任 多 
种 职务 ， 而 且 担任 相同 职务 的 可 能 不 止 一 人 。 因 此 ，RBAC 提供 了 一 种 描述 用 户 和 权限 
之 间 的 多 对 多 关系 ， 角 色 可 以 划分 成 不 同 的 等 级 ， 通 过 角色 等 级 关系 来 反映 一 个 组 织 的 
职权 和 责任 关系 ， 这 种 关系 具有 反 身 性 、 传 递 性 和 非 对 称 性 特点 ， 通 过 继承 行为 形成 了 
一 个 偏 序 关系 ， 如 MngMN>TchMN>Stud MN。RBAC 中 通常 定义 不 同 的 约束 规则 来 对 
模型 中 的 各 种 关系 进行 限制 ， 最 基本 的 约束 是 “相互 排斥 ”约束 和 “基本 限制 ”约束 ， 
分 别 规定 了 模型 中 的 互 斥 角色 和 一 个 角色 可 被 分 配 的 最 大 用 户 数 。RBAC 中 引进 了 角色 
的 概念 , 用 角色 表示 访问 主体 具有 的 职权 和 责任 , 灵活 地 表达 和 实现 了 企业 的 安全 策略 ， 
使 系统 权限 管理 在 企业 的 组 织 视图 这 个 较 高 的 抽象 集 上 进行 ， 从 而 简化 了 权限 设置 的 管 
理 。 从 这 个 角度 看 ，RBAC 很 好 地 解决 了 企业 管理 信息 系统 中 用 户 数量 多 、 变 动 频繁 的 
问题 。 

相 比 较 而 言 ，RBAC 是 实施 面向 企业 的 安全 策略 的 一 种 有 效 的 访问 控制 方式 ， 其 具 
有 灵活 性 、 方 便 性 和 安全 性 的 特点 , 目前 在 大 型 数据 库 系 统 的 权限 管理 中 得 到 普遍 应 用 。 
角色 由 系统 管理 员 定 义 ， 角 色 成 员 的 增 减 也 只 能 由 系统 管理 员 来 执行 ， 即 只 有 系统 管理 
员 有 权 定 义 和 分 配角 色 。 用 户 与 客体 无 直接 联系 ， 他 只 有 通过 角色 才 享 有 该 角色 所 对 应 
的 权限 ， 从 而 访问 相应 的 客体 。 因 此 ， 用 户 不 能 自主 地 将 访问 权限 授 给 别 的 用 户 ， 这 是 
RBAC 与 DAC 的 根本 区 别 所 在 。RBAC 与 MAC 的 区 别 在 于 ， MAC 是 基于 多 级 安全 需 
求 的 ， 而 RBAC 则 不 是 。 


4.6.4 基于 任务 的 访问 控制 模型 


上 述 几 个 访问 控制 模型 都 是 从 系统 的 角度 出 发 去 保护 资源 (控制 环境 是 静态 的 )， 
在 进行 权限 的 控制 时 没有 考虑 执行 的 上 下 文 环境 。 数 据 库 、 网 络 和 分 布 式 计算 的 发 展 ， 
组 织 任务 进一步 自动 化 ， 与 服务 相关 的 信息 进一步 计算 机 化 ， 这 促使 人 们 将 安全 问题 方 
面 的 注意 力 从 独立 的 计算 机 系统 中 静态 的 主体 和 客体 保护 ， 转 移 到 随 着 任务 的 执行 而 进 
行动 态 授权 的 保护 上 。 此 外 ， 上 述 访问 控制 模型 不 能 记录 主体 对 客体 权限 的 使 用 ， 权 限 
没有 时 间 限制 ， 只 要 主体 拥有 对 客体 的 访问 权限 ， 主 体 就 可 以 无 数 次 地 执行 该 权限 。 考 
虑 到 上 述 原因 ， 我 们 引入 工作 流 的 概念 加 以 阐述 。 工 作 流 是 为 完成 某 一 目标 而 由 多 个 相 
关 的 任务 《活动 ) 构成 的 业务 流程 。 工 作 流 所 关注 的 问题 是 处 理 过 程 的 自动 化 ， 对 人 和 
其 他 资源 进行 协调 管理 ， 从 而 完成 某 项 工作 。 当 数据 在 工作 流 中 流动 时 ， 执 行 操作 的 用 
户 在 改变 , 用 户 的 权限 也 在 改变 , 这 与 数据 处 理 的 上 下 文 环境 相关 。 传 统 的 DAC 和 MAC 
访问 控制 技术 则 无 法 予以 实现 ， 我 们 讲 过 的 RBAC 模型 ， 也 需要 频繁 地 更 换 角色 ， 且 不 
适合 工作 流程 的 运转 。 这 就 迫使 我 们 必须 考虑 新 的 模型 机 制 ， 也 就 是 基于 任务 的 访问 控 
制 模型 。 
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基于 任务 的 访问 控制 模型 (Task-based Access Control Model，TBAC Model) 是 从 应 
用 和 企业 层 角 度 来 解决 安全 问题 ， 以 面向 任务 的 观点 ， 从 任务 〈 活 动 ) 的 角度 来 建立 安 
全 模型 和 实现 安全 机 制 ， 在 任务 处 理 的 过 程 中 提供 动态 实时 的 安全 管理 。 

在 TBAC 中 ， 对 象 的 访问 权限 控制 并 不 是 静止 不 变 的 ， 而 是 随 着 执行 任务 的 上 下 文 
环境 发 生变 化 。TBAC 首要 考虑 的 是 在 工作 流 的 环境 中 对 信息 的 保护 问题 : 在 工作 流 环 
境 中 ， 数 据 的 处 理 与 上 一 次 的 处 理 相关 联 ， 相 应 的 访问 控制 也 如 此 ， 因 而 TBAC 是 一 种 
上 下 文 相 关 的 访问 控制 模型 。 其 次 ，TBAC 不 仅 能 对 不 同 工 作 流 实行 不 同 的 访问 控制 策 
略 ， 而 且 还 能 对 同一 工作 流 的 不 同 任务 实例 实行 不 同 的 访问 控制 策略 。 从 这 个 意义 上 说 ， 
TBAC 是 基于 任务 的 ， 这 也 表明 ，TBAC 是 一 种 基于 实例 〈instance-based) 的 访问 控制 
模型 。 

TBAC 模型 由 工作 流 、 授 权 结构 体 、 受 托 人 集 和 许可 集 4 部 分 组 成 。 

(1) 任务 (task): 是 工作 流程 中 的 一 个 逻辑 单元 ， 是 一 个 可 区 分 的 动作 ， 与 多 个 用 
户 相 关 ， 也 可 能 包括 几 个 子 任务 。 授 权 结构 体 是 任务 在 计算 机 中 进行 控制 的 一 个 实例 。 
任务 中 的 子 任务 ， 对 应 于 授权 结构 体 中 的 授权 步 。 

(2) 授权 结构 体 〈authorization unit): 是 由 一 个 或 多 个 授权 步 组 成 的 结构 体 ， 它 们 
在 逻辑 上 是 联系 在 一 起 的 。 授 权 结 构 体 分 为 一 般 授权 结构 体 和 原子 授权 结构 体 。 一 般 授 
权 结 构 体 内 的 授权 步 依次 执行 ， 原 子 授权 结构 体内 部 的 每 个 授权 步 紧密 联系 ， 其 中 任何 
一 个 授权 步 失败 都 会 导致 整个 结构 体 的 失败 。 

(3) 授权 步 〈authorization step): 表示 一 个 原始 授权 处 理 步 ， 是 指 在 一 个 工作 流程 
中 对 处 理 对 象 的 一 次 处 理 过 程 。 授 权 步 是 访问 控制 所 能 控制 的 最 小 单元 ， 由 受托 人 集 
(trustee-set) 和 多 个 许可 集 (permissions set) 组 成 。 

受托 人 集 是 可 被 授予 执行 授权 步 的 用 户 的 集合 ， 许 可 集 则 是 受托 集 的 成 员 被 授予 授 
权 步 时 拥有 的 访问 许可 。 当 授权 步 初 始 化 以 后 ， 一 个 来 自 受 托 人 集中 的 成 员 将 被 授予 授 
权 步 ， 我 们 称 这 个 受托 人 为 授权 步 的 执行 委托 者 ， 该 受托 人 执行 授权 步 过 程 中 所 需 许可 
的 集合 称 为 执行 者 许可 和 集 。 授 权 步 之 间或 授权 结构 体 之 间 的 相互 关系 称 为 依赖 
(dependency)， 依 赖 反 映 了 基于 任务 的 访问 控制 的 原则 。 授 权 步 的 状态 变化 一 般 自我 管 
理 ， 依 据 执行 的 条 件 而 自动 变迁 状态 ,但 有 时 也 可 以 由 管理 员 进 行 调配 。 

一 个 工作 流 的 业务 流程 由 多 个 任务 构成 。 而 一 个 任务 对 应 于 一 个 授权 结构 体 ， 每 个 
授权 结构 体 由 特定 的 授权 步 组 成 。 授 权 结构 体 之 间 以 及 授权 步 之 间 通 过 依赖 关系 联系 在 
一 起 。 在 TBAC 中 ， 一 个 授权 步 的 处 理 可 以 决定 后 续 授 权 步 对 处 理 对 象 的 操作 许可 ， 上 
述 许可 集合 称 为 激活 许可 集 。 执 行者 许可 集 和 激活 许可 集 一 起 称 为 授权 步 的 保护 态 。 

TBAC 模型 一 般 用 五 元 组 (S$，O，P，L，AS) 来 表示 ， 其 中 S 表示 主体 ，O 表示 
客体 ，P 表示 许可 ，L 表示 生命 期 (lifecycle)，AS 表示 授权 步 。 由 于 任务 都 是 有 时 效 性 
的 ， 所 以 在 基于 任务 的 访问 控制 中 ， 用 户 对 于 授予 他 的 权限 的 使 用 也 是 有 时 效 性 的 。 
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此 ,车 P 是 授权 步 AS 所 激活 的 权限 ， 那 么 工 则 是 授权 步 AS 的 存活 期 限 。 在 授权 步 AS 
被 激活 之 前 ， 它 的 保护 态 是 无 效 的 ， 其 中 包含 的 许可 不 可 使 用 。 当 授权 步 AS 被 触发 时 ， 
它 的 委托 执行 者 开始 拥有 执行 者 许可 集中 的 权限 ， 同 时 它 的 生命 期 开始 倒计时 。 在 生命 
期 期 间 ， 五 元 组 (S，0O，P, 工 ，AS) 有 效 ; 生命 期 终止 时 ,五 元 组 (S, O, P, L, AS) 
无 效 ， 委 托 执行 者 所 拥有 的 权限 被 回收 。 

TBAC 的 访问 政策 及 其 内 部 组 件 关系 一 般 由 系统 管理 员 直 接 配置 。 通 过 授权 步 的 动 
态 权 限 管理 ，TBAC 支持 最 小 特权 原则 和 最 小 泄漏 原则 ， 在 执行 任务 时 只 给 用 户 分 配 所 
需 的 权限 ， 未 执行 任务 或 任务 终止 后 用 户 不 再 拥有 所 分 配 的 权限 。 而 且 在 执行 任务 过 程 
中 ， 当 某 一 权限 不 再 使 用 时 ， 授 权 步 自动 将 该 权限 回收 。 另 外 ， 对 于 敏感 的 任务 需要 不 
同 的 用 户 执行 ， 这 可 通过 授权 步 之 间 的 分 权 依赖 实现 。 

TBAC 从 工作 流 中 的 任务 角度 建 模 ， 可 以 依据 任务 和 任务 状态 的 不 同 ， 对 权限 进行 
动态 管理 。 因 此 ，TBAC 非常 适合 分 布 式 计算 和 多 点 访问 控制 的 信息 处 理 控制 以 及 在 工 
作 流 、 分 布 式 处 理 和 事务 管理 系统 中 的 决策 制定 。 


4.6.5 基于 对 象 的 访问 控制 模型 


DAC 或 MAC 模型 的 主要 任务 都 是 对 系统 中 的 访问 主体 和 受 控 对 象 进行 一 维 的 权限 
管理 ， 当 用 户 数量 多 、 处 理 的 信息 数据 量 巨大 时 ,用户 权 限 的 管理 任务 将 变 得 十 分 繁重 ， 
并 且 用 户 权 限 难以 维护 ， 这 就 降低 了 系统 的 安全 性 和 可 靠 性 。 对 于 海量 的 数据 和 差异 较 
大 的 数据 类 型 ， 需 要 用 专门 的 系统 和 专门 的 人 员 加 以 处 理 ， 要 是 采用 RBAC 模型 ， 安 全 
管理 员 除 了 维护 用 户 和 角色 的 关联 关系 外 ， 还 需要 将 庞大 的 信息 资源 访问 权限 赋予 有 限 
个 角色 。 当 信息 资源 的 种 类 增加 或 减少 时 ， 安 全 管理 员 必 须 更 新 所 有 角色 的 访问 权限 设 
置 ， 而且， 如 果 受 控 对 象 的 属性 发 生变 化 ， 同 时 需要 将 受 控 对 象 不 同属 性 的 数据 分 配给 
不 同 的 访问 主体 处 理 时 ， 安 全 管理 员 将 不 得 不 增加 新 的 角色 ， 并 且 还 必须 更 新 原来 所 有 
角色 的 访问 权限 设置 以 及 访问 主体 的 角色 分 配 设 置 ， 这 样 的 访问 控制 需求 变化 往往 是 不 
可 预知 的 ， 造 成 访问 控制 管理 的 难度 和 工作 量 巨大 。 在 这 种 情况 下 ， 有 必要 引入 基于 受 
控 对 象 的 访问 控制 模型 (Object-based Access Control Model, OBAC Model)。 

控制 策略 和 控制 规则 是 OBAC 访问 控制 系统 的 核心 所 在 , 在 基于 受 控 对 象 的 访问 控 
制 模型 中 ， 将 访问 控制 列表 与 受 控 对 象 或 受 控 对 象 的 属性 相关 联 ， 并 将 访问 控制 选项 设 
计 成 为 用 户 、 组 或 角色 及 其 对 应 权限 的 集合 。 同 时 ， 人 允许 对 策略 和 规则 进行 重用 、 继 承 
和 派生 操作 。 这 样 ， 不 仅 可 以 对 受 控 对 象 本 身 进行 访问 控制 ， 对 受 控 对 象 的 属性 也 可 以 
进行 访问 控制 ， 而 且 派生 对 象 可 以 继承 父 对 象 的 访问 控制 设置 ， 这 对 于 信息 量 巨 大 、 信 
息 内 容 更 新 变化 频繁 的 管理 信息 系统 非常 有 益 ， 可 以 减轻 由 于 信息 资源 的 派生 、 演 化 和 
重组 等 带 来 的 分 配 、 设 定 角色 权限 等 的 工作 量 。 
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OBAC 从 信息 系统 的 数据 差异 变化 和 用 户 需 求 出 发 ， 有 效 地 解决 了 信息 数据 量 大 、 
数据 种 类 繁多 、 数 据 更 新 变化 频繁 的 大 型 管理 信息 系统 的 安全 管理 。OBAC 从 受 控 对 象 
的 角度 出 发 ， 将 访问 主体 的 访问 权限 直接 与 受 控 对 象 相关 联 ， 一 方面 定义 对 象 的 访问 控 
制 列表 ， 增 、 删 、 修 改 访问 控制 项 易于 操作 ， 另 一 方面 ， 当 受 控 对 象 的 属性 发 生 改 变 ， 
或 者 受 控 对 象 发 生 继承 和 派生 行为 时 ， 无 须 更 新 访问 主体 的 权限 ， 只 需要 修改 受 控 对 象 
的 相应 访问 控制 项 即 可 ， 从 而 减少 了 访问 主体 的 权限 管理 ， 降 低 了 授权 数据 管理 的 复 
杂 性 。 


4.7 VPN 技术 


当今 ， 随 着 企业 网 应 用 的 日 益 广 泛 ， 企 业 网 的 范围 也 在 不 断 扩 大 ， 采 用 传统 的 广 域 
网 建立 企业 专 网 , 往往 需要 租用 昂贵 的 跨 地 区 数字 专线 。 同 时 , 国内 公共 信息 网 (ChinaNet 
与 Intemet) 近 几 年 来 得 到 高 速 发 展 ， 已 经 遍布 全 国 各 地 。 在 物理 上 ， 各 地 的 公众 信息 网 
都 是 连通 的 ， 但 由 于 公众 信息 网 是 对 社会 开放 的 ， 如 果 企 业 的 信息 要 通过 公众 信息 网 进 
行 传输 ， 在 安全 性 上 会 存在 着 很 多 问题 。 

VPN (Virtual Private Network， 虚 拟 专 用 网 络 ) 是 指 利用 公共 网 络 建立 私有 专用 网 
络 。 数 据 通过 安全 的 “加 密 隧道 ”在 公共 网 络 中 传播 ， 连 接 在 Intemet 上 的 位 于 不 同 地 
方 的 两 个 或 多 个 企业 内 部 网 之 间 建 立 一 条 专 有 的 通信 线路 ， 就 好 比 是 架设 了 一 条 专线 一 
样 , 但 是 它 并 不 需要 真正 地 去 铺设 光缆 之 类 的 物理 线路 。VPN 利用 公共 网 络 基础 设施 为 
企业 各 部 门 提供 安全 的 网 络 互联 服务 ， 能 够 使 运行 在 VPN 之 上 的 商业 应 用 享有 几乎 和 
专用 网 络 同样 的 安全 性 、 可 靠 性 、 优 先 级 别 和 可 管理 性 。 企 业 只 需要 租用 本 地 的 数据 专 
线 ， 连 接 上 本 地 的 公共 信息 网 ， 各 地 的 机 构 就 可 以 互相 传递 信息 。 同 时 ， 企 业 还 可 以 利 
用 公共 信息 网 的 拨号 接 入 设备 ， 让 自己 的 用 户 拨号 到 公众 信息 网 上 ， 就 可 以 安全 地 连接 
进入 企业 网 中 。 使 用 VPN 有 节省 成 本 、 提 供 远 程 访问 、 扩 展 性 强 、 便 于 管理 和 实现 全 
面 控制 等 好 处 ， 是 目前 和 今后 企业 网 络 发 展 的 趋势 。 


4.7.1 IPSec 


IPSec 协议 是 Intemet 工程 任务 组 为 保证 卫 及 其 上 层 协议 的 安全 而 制定 的 一 个 开放 
安全 标准 ，IPSec 协议 不 是 一 个 单独 的 协议 ， 它 给 出 了 应 用 于 中 层 上 网 络 数据 安全 的 一 
整套 体系 结构 ， 包 括 网 络 认 证 头 〈Authentication Header，AH) 协议 、 封 装 安全 载荷 
(Encapsulating Security Payload，ESP) 协议 、 密 钥 管 理 〈Intemet Key Exchange，IKE) 
协议 和 用 于 网 络 认 证 及 加 密 的 一 些 算法 等 。IPSec 规定 了 如 何在 对 等 层 之 间 选 择 安全 协 
议 、 确 定安 全 算法 和 密 钥 交换 ， 向 上 提供 了 访问 控制 、 数 据 源 认 证 和 数据 加 密 等 网 络 安 
全 服务 。 

1. IPSec 协议 体系 结构 

IPSec 协议 是 IETF 于 1998 年 11 月 公布 的 人 P 安全 标准 ，IPSec 的 设计 目的 是 在 
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Intemet 上 建立 安全 的 卫 连接 ,用 来 填补 目前 Internet 在 安全 方面 的 空白 .IPSec 对 于 IPv4 
是 可 选 的 ， 对 于 IPv6 是 强制 性 的 。 

如 图 4-88 所 示 ，IPSec 体系 结构 的 第 一 个 主要 的 部 分 是 安全 结构 。IPSec 使 用 两 个 
协议 提供 数据 包 的 安全 : 认证 头 和 封装 安全 载荷 。AH 协议 支持 访问 控制 、 数 据 源 认证 、 
无 连接 的 完整 性 和 抗 重 放 攻击 。ESP 协议 提供 访问 控制 、 数 据 机 密 性 、 无 连接 的 完整 性 、 
抗 重 放 攻击 和 有 限 的 通信 流 机 密 性 等 安全 服务 。AH 协议 和 ESP 协议 都 是 接 入 控制 的 手 
段 ， 建 立 在 加 密 密 钥 的 分 配 和 与 这 些 安全 协议 相关 的 通信 流量 管理 的 基础 上 。 


一 | 


IPSec 体系 
f 1 


ESP | AH 


解释 域 
密 钥 管理 策略 


图 4-88 IPSec 体系 结构 


IPSec 协议 使 用 IKE 协议 实现 安全 协议 的 自动 安全 参数 协商 。IKE 协商 的 安全 参数 
包括 加 密 及 鉴别 算法 、 加 密 及 鉴别 密 钥 、 通 信 的 保护 模式 (传输 或 隧道 模式 )、 密 钥 的 生 
存 期 等 。IKE 还 负责 这 些 安全 参数 的 刷新 。 

解释 域 (Domain of Interpretation，DOI) 是 整个 IPSec 协议 中 很 重要 的 部 分 ， 它 将 
所 有 IPSec 小 组 的 文献 捆绑 在 一 起 ， 通 过 对 解释 域 的 访问 可 以 得 到 相关 协议 各 字 节 位 的 
含义 解释 。 它 可 以 被 认为 是 所 有 的 IPSec 安全 参数 的 主 数据 库 ， 这 些 参 数 可 以 被 与 IPSec 
服务 相关 的 系统 参考 调用 。 

对 于 IPSec 数据 流 处 理 而 言 ， 有 两 个 必要 的 数据 库 : 安全 关联 数据 库 (Security 
Association Database，SAD) 和 安全 策略 数据 库 〈Security Policy Database，SPD)。SAD 
包含 活动 的 SA 参数 ; SPD 指定 了 用 于 到 达 或 者 源 自 特定 主机 或 者 网 络 的 数据 流 的 策略 。 
对 于 SPD 和 SAD， 都 需要 单独 的 输入 和 输出 数据 库 。 

2. 安全 关联 

安全 关联 (Security Association，SA) 是 IPSec 的 基础 ， 是 两 个 应 用 IPSec 系统 〈 主 
机 、 路 由 器 ) 间 的 一 个 单 向 逻辑 连接 ， 是 安全 策略 的 具体 化 和 实例 化 ， 它 提供 了 保护 通 
信 的 具体 细节 。SA 由 一 个 三 元 组 唯一 标识 ， 该 三 元 组 是 : 安全 参数 索引 (SPI)、 耿 目 
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的 地 址 和 安全 协议 (AH 或 ESP) 标识 符 。 原 则 上 ， 目 的 地 址 可 以 是 一 个 单 播 地 址 、 一 
个 全 广播 地 址 或 一 个 多 播 组 地 址 。 

安全 关联 是 一 个 单 向 “连接 ” 它 为 其 传输 的 通信 提供 安全 服务 。 为 了 保护 两 台 主 机 
之 间 双 向 通信 ， 至 少 需要 两 个 SA。 若 某 台 主 机 ， 如 文件 服务 器 或 远程 访问 服务 器 需要 
同时 与 多 台 客 户 机 通信 ， 则 该 服务 器 需要 与 每 台 客户 机 分 别 建立 不 同 的 SA, 每 个 SA 用 
唯一 的 SPI 索引 标识 ， 当 处 理 接收 数据 包 时 ， 服 务 器 根据 SPI 值 来 决定 该 使 用 哪 种 SA。 

安全 关联 数据 库 是 为 IPSec 实现 提供 安全 策略 配置 ， 用 于 维护 当前 活动 的 SA 记录 。 
SAD 中 包含 现行 的 SA 条目， 是 SA 的 集合 ， 其 内 容 包括 目的 瑟 地址 、 安 全 协议 、SPT、 
序列 号 计数 器 和 序列 号 溢出 标志 。 此 外 ， 一 个 SAD 条 目 还 包括 下 面 几 类 ， 分 别 是 算法 
信息 、 抗 重播 窗口 、IPSec 协议 操作 模式 和 SA 生存 期 。 

除 此 之 外 ，SA 中 还 需要 保存 其 他 一 些 辅助 信息 ， 如 当前 的 状态 、 路 径 最 大 传输 单 
元 PMTU 等 。SAD 还 应 该 提供 其 他 模块 访问 自己 的 接口 ， 最 主要 的 操作 就 是 查找 、 添 
加 、 删 除 、 更 新 和 过 期 。 

3. 安全 策略 

IPSec 提供 的 具体 服务 内 容 是 由 系统 的 安全 策略 决定 的 。 策 略 位 于 安全 检查 规范 的 
最 高 一 级 ， 是 决定 系统 的 安全 要 素 。 安 全 策略 定义 了 系统 中 哪些 行为 是 允许 的 ， 哪 些 是 
不 允许 的 。IPSec 协议 体系 中 包括 一 个 安全 策略 数据 库 ， 对 安全 策略 应 包括 的 一 些 属性 
进行 了 概念 性 的 描述 , 但 并 没有 规定 安全 策略 的 具体 字段 、 如 何 表达 等 。 在 实际 应 用 中 ， 
用 户 必须 定义 一 套 安全 策略 ， 并 通过 安全 策略 数据 库 加 以 维护 ， 以 便 为 不 同 的 通信 指定 
不 同 的 安全 规则 。 在 不 同 的 实施 方案 中 , 安全 策略 往往 是 造成 彼此 不 能 通信 的 主要 原因 。 
进入 或 外 出 的 每 一 份 数据 报 ， 都 有 三 种 可 能 的 选择 : 丢弃 、 绕 过 IPSec 或 应 用 IPSec。 丢 
弃 是 指 根本 不 允许 离开 主机 、 穿 过 安全 网 关 ， 或 最 终 传递 到 某 一 应 用 程序 ， 绕 过 是 指 多 
许 通 过 而 不 用 额外 IPSec 保护 的 传输 ; 应 用 是 指 需要 IPSec 保护 传输 ， 并 且 对 于 这 样 的 
传输 SPD 必须 规定 提供 的 安全 服务 和 所 使 用 的 协议 、 算 法 等 。 对 于 一 个 IPSec 实施 点 ， 
进入 包 和 外 出 包 都 需要 参考 SPD。SPD 包括 策略 入 口 的 有 序列 表 。 每 一 个 策略 入 口 由 一 
个 或 多 个 选择 符 标识 ， 这 些 选择 符 定义 了 被 这 一 策略 入 口 包含 的 人 P 传输 ， 以 及 策略 或 
IPSec 处 理 的 粒度 。 每 一 个 入 口 包 括 一 个 标识 ， 它 标识 匹配 这 一 策略 的 传输 是 允许 通过 ， 
丢弃 ,还 是 进行 IPSec 处 理 。 如 果 运用 IPSec 处 理 ， 入 口 应 包括 SA 的 规范 ， 该 规范 列举 
了 IPSec 协议 、 模 式 和 使 用 的 算法 ， 包 括 了 任何 嵌 套 需求 。 

4. AH 和 ESP 

IPSec 基本 协议 包括 AH 和 ESP。 

1) AH 协议 

AH 协议 提供 数据 源 认证 、 数 据 完整 性 和 反 重 放 保证 。AH 的 工作 原理 是 在 每 一 个 数 
据 包 上 添加 一 个 身份 验证 报头 。 此 报头 包含 一 个 带 密 钥 的 hash 散 列 ， 此 hash 散 列 在 整 
个 数据 包 中 计算 ， 因 此 对 数据 的 任何 更 改 将 致使 散 列 无 效 ， 这 样 就 提供 了 完整 性 保护 。 
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AH 报头 位 置 在 IP 报头 和 传输 层 协议 报头 之 间 。AH 由 IP 协议 号 51 标识 ， 该 值 包含 在 
AH 报头 之 前 的 协议 报头 中 ， 如 下 报头 。AH 可 以 单独 使 用 ， 也 可 以 与 ESP 协议 结合 使 
用 。ESP 协议 也 提供 可 选择 的 认证 服务 ，AH 与 ESP 两 者 的 认证 服务 的 差别 在 于 它们 计 


算 时 所 覆盖 的 范围 不 同 。 
AH 头 格式 如 图 4-89 所 示 。 
0 7 15 3 
下 一 个 报头 负荷 长 度 保留 
安全 参数 家 引 
序号 
认证 数据 
4-89 AH 头 格式 

各 字段 含义 如 下 。 


。 下 一 个 报头 : 是 一 个 8 位 的 字段 ， 指 明 AH 头 之 后 的 载荷 类 型 。 字 段 的 值 取 自 于 
IANA 的 他 协议 号 定义 。 
。 负荷 长 度 : 采用 以 32 位 的 字 为 单位 的 值 减 2 表示 AH 报头 长 度 。 
保留 : 这 个 16 位 的 字段 被 保留 为 将 来 使 用 , 因为 目前 没有 使 用 , 必须 将 它 设 为 0。 
安全 参数 索引 : SPI 是 一 个 任意 的 32 位 值 , 被 接收 者 用 来 识别 对 进入 包 进 行 身份 
验证 的 安全 关联 。 它 与 数据 报 的 目的 IP 地 址 、 安 全 协议 类 型 一 起 唯一 地 确定 了 
这 一 数据 报 所 用 的 安全 关联 。SPI 值 0 被 保留 来 表明 “没有 安全 关联 存在 ”。 
。 序号 :从 1 开始 的 32 位 单 增 序列 号 ， 不 允许 重复 ， 唯 一 地 标识 了 每 一 个 发 送 数 
据 包 ， 为 安全 关联 提供 反 重 放 保 护 。 接 收 端 校 验 序 列 号 为 该 字段 值 的 数据 包 是 否 
已 经 被 接收 过 ， 若 是 ， 则 拒 收 该 数据 包 。 
。 认证 数据 : 这 个 字段 的 长 度 是 可 变 的 ， 但 总 是 一 个 32 位 字 的 整数 倍 。 该 认证 数 
据 被 称 为 数据 报 的 完整 性 校 验 值 (ICV)。 用 来 生成 ICV 的 算法 由 SA 指定 。 如 果 
一 个 IPv4 数据 报 的 ICV 域 的 长 度 不 是 32 的 整数 倍 , 必须 添加 填充 位 使 ICV 域 的 
长 度 达 到 所 需要 的 长 度 。 
2) ESP 协议 
ESP 提供 数据 保密 、 数 据 源 认证 、 无 连接 完整 性 、 抗 重播 服务 和 有 限 的 数据 流 保密 。 
实际 上 ，ESP 提供 同 AH 类 似 的 服务 ， 但 增加 了 两 个 额外 的 服务 : 数据 保密 和 有 限 的 数 
据 流 保密 服务 。 一 个 IP 数据 报 所 使 用 的 具体 ESP 服务 由 相应 的 安全 关联 规定 。 保 密 服 
务 是 ESP 的 主要 功能 ， 如 果 在 没有 认证 的 情况 下 使 用 保密 功能 ， 这 个 IP 数据 报 有 可 能 
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受到 主动 攻击 的 威胁 。 数 据 源 认证 和 完整 性 认证 〈 统 称 认 证 ) 作为 一 个 整体 ， 是 ESP 的 
可 选用 服务 。 防 重 放 功能 仅 在 有 ESP 认证 时 生效 ， 并 且 有 具体 处 理 取决 于 报 文 的 接受 方 。 
流量 保密 需要 使 用 ESP 隧道 模式 ， 一 般 在 安全 网 关 处 实施 ， 这 样 可 隐藏 报 文 的 实际 收发 
地 址 。 

ESP 头 格式 如 图 4-90 所 示 。 


0 人 15 24 31 


安全 参数 索引 
序号 
数据 (长 度 可 变 ) 
数据 | 填充 字段 
填充 字段 。 | 。 填充 长度 上 层 协议 
认证 数据 (长度 可 变 ， 可 先 ) 


天 羡 让 过 一 一 一 | 


| 


图 4-90 ESP 头 的 格式 


各 字段 含义 如 下 。 

。 安全 参数 索引 : 用 于 标识 一 个 安全 关联 。 

。 序 号: 单 向 递增 的 计数 器 值 ， 用 于 防止 重 放 攻 击 。 

。 数据 : 载荷 数据 是 非 定 长 的 域 ， 用 来 存放 经 ESP 协议 处 理 过 的 数据 ， 这 些 数据 所 
属 的 类 型 由 “下 一 协议 头 ” 字 段 定 义 。 

。 填充 字段 : 额外 的 字 节 。 有 些 加 密 算法 要 求 明文 长 度 是 分 组 的 某 个 整 倍 数 ， 也 可 
用 来 隐藏 载荷 数据 的 真实 长 度 。 

。 填充 长 度 : 表示 填充 的 字 节 数 。 

上 层 协议 : 上 层 协议 字段 指出 了 载荷 数据 所 包含 的 内 容 。 

认证 数据 : 长 度 可 变 的 字段 ， 用 于 填 入 ICV。ICV 的 计算 范围 为 ESP 包 中 除 掉 验 

证 数据 字段 的 部 分 。 

S. 实施 模式 

SA 可 定义 为 以 下 两 种 模式 。 

(1) 传输 模式 。 传 输 模 式 SA 是 两 台 主 机 间 的 一 个 安全 关联 。 在 IPv4 环境 中 ， 传 输 
模式 安全 协议 头 紧 接 在 人 P 头 和 任意 选项 之 后 ， 且 在 任何 更 高 层 协议 之 前 。 在 ESP 的 情 
况 下 , 传输 模式 SA 仅 为 那些 更 高 层 协议 提供 安全 服务 , 而 并 不 为 ESP 头 之 前 的 也 头 或 
任意 扩展 头 提 供 服务 。 在 AH 情况 下 ， 这 种 保护 也 被 扩展 到 IP 头 的 可 选 部 分 、 扩 展 头 的 
可 选 部 分 和 可 选项 。 
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(2) 隧道 模式 。 隧 道 模 式 SA 本 质 上 是 一 个 运用 于 IP 隧道 的 SA。 只 要 安全 关联 的 
任意 一 端 是 安全 网 关 ，SA 就 必须 是 隧道 模式 。 因此， 两 个 安全 网 关 之 间 的 SA 总 是 隧道 
模式 SA， 同 样 地 ， 主 机 和 安全 网 关 冯 的 SA 也 是 这 样 的 。 

这 两 种 模式 的 区 别 在 于 通道 模式 保护 整个 卫 数据 包 ， 传 输 模式 保护 IP 包 内 的 数据 
载荷 。 对 应 于 上 面 介绍 的 AH 协议 和 ESP 协议 , 使 用 不 同 的 模式 , 其 报 文 格式 有 所 不 同 。 
如 图 4-91 和 图 4-92 所 示 。AH 有 传输 模式 和 隧道 模式 两 种 操作 模式 。 


原 全 头 | 传输 协议 头 传输 协议 数据 | 


| 原 了 下头 AH 头 传输 协议 头 传输 协议 数据 


除 可 变 域 都 要 认证 
图 4-91 传输 模式 的 AH 封装 


原 耻 头 传输 协议 头 | 传输 协议 数据 


新 全 头 | AH 头 原 耳 头 传输 协议 头 传输 协议 数据 


除 新 他 头 中 的 可 变 域 都 要 认证 
图 4-92 ”隧道 模式 的 AH 封装 


ESP 协议 有 两 种 工作 模式 ， 在 传输 模式 中 ，ESP 协议 将 上 层 协 议 数据 作为 ESP 封装 
的 载荷 数据 ， 而 原 卫 报头 仍 作为 封装 后 的 卫 分 组 的 报头 。 在 隧道 模式 中 ， 原 IP 分 组 被 
作为 载荷 数据 封装 入 ESP，ESP 为 封装 后 的 ESP 载荷 构造 一 个 新 的 他 头 。 

两 种 模式 封装 格式 如 图 4-93 和 图 4-94 所 示 。 


原 耳 头 传输 协议 头 传输 协议 数据 


4-93 ”传输 模式 的 ESP 封装 
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原 耳 头 传输 协议 头 传输 协议 数据 


图 4-94 隧道 模式 的 ESP 封装 


4.7.2 GRE 


GRE (Generic Routing Encapsulation, 通用 路 由 封装 ) 协议 是 对 某 些 网 络 层 协 议 (如 
IP 和 IPX) 的 数据 报 进行 封装 , 使 这 些 被 封装 的 数据 报 能 够 在 另 一 个 网 络 层 协议 中 传输 。 
GRE 是 VPN 的 第 三 层 隧道 协议 ， 同 IPSec 协议 一 样 ，GRE 也 是 在 协议 层 之 间 采 用 了 
Tunnel (隧道) 技术 。 

1. GRE 报 文 格式 

在 最 简单 的 情况 下 ， 系 统 接收 到 一 个 需要 封装 和 路 由 的 数据 报 ， 我 们 称 之 为 有 效 报 
文 (Payload)。 这 个 有 效 报 文 首先 被 GRE 封装 ， 然 后 被 称 之 为 GRE 报 文 ， 这 个 报 文 接 
着 被 封装 在 卫 报头 中 ， 然 后 完全 由 IP 层 负责 此 报 文 的 转发 (Forwarded)， 也 称 这 个 负 
责 转发 的 IP 协议 为 传递 (Delivery) 协议 或 传输 〈Transport) 协议 。 整 个 被 封装 的 报 文 
形式 如 下 。 


| 一 一 “传输 协议 
Delivery Header 


GRE Header 封装 协议 


Payload 
~ 一 乘客 协议 


举例 来 说 ， 一 个 封装 在 IP tunnel 中 的 IPX 传输 报 文 的 格式 如 下 。 


其 中 ，GRE 报 文 头 的 格式 如 图 4-95 所 示 。 
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15 3 
ce 


Sequence Number (optional) 


Routing (optional) 


4-95 ”GRE 报 文 头 部 格式 


下 面 详细 说 明 各 位 的 含义 。 
(1) GRE 报头 的 前 32 位 (4 个 字 节 ) 是 必须 要 有 的 ， 构 成 了 GRE 的 基本 报头 。 其 
中 前 16 位 上 是 GRE 的 标记 码 ， 其 详细 说 明 如 下 。 
。 第 0 位 : 校 验 有 效 位 (Checksum Present)。 
。 第 1 位 : 路 由 有 效 位 (Routing Present)。 
。 第 2 位 : 密 钥 有 效 位 (Key Present)。 
。 第 3 位 : 顺序 号 有 效 位 (Sequence Number Present)。 
。 第 4 位 : 严格 源 路 由 有 效 位 (Strict Source Route)。 
。 第 5 位: 递归 控制 位 (Recursion Control)。 
。 5 一 12 位 : 被 保留 将 来 使 用 ， 目 前 必须 都 被 置 为 0。 
。 13 一 15 位 : 保留 的 版 本 信息 位 (Version Number)。 
(2) GRE 报头 的 后 16 位 是 Protocol Type (协议 类 型 ) 字 ， 指 明 有 效 数据 报 的 协议 
类 型 。 最 基本 的 是 全 协议 和 以 太 网 协议 IPX， 分 别 对 应 的 协议 号 为 0x800 和 0x8137。 
(3) 下 面 是 可 选 的 GRE 报头 区 〈 默 认 都 没有 )。 
。 Checksum 〈 校 验 信息 区 ): 16 位 ， 包 含 GRE 头 和 有 效 分 组 补充 的 卫 校 验 。 如 果 
路 由 有 效 位 或 校 验 有 效 位 有 效 则 此 区 域 有 效 ， 而 仅 当 校 验 位 有 效 时 此 区 域 包含 有 
效 信息 。 
。 Offset (位 移 量 区 ): 16 位 , 表示 从 路 由 区 开始 到 活动 的 被 检测 的 源 路 由 入 口 (Source 
Route Entry) 的 第 一 个 字 节 的 偏 移 量 。 如 果 路 由 有 效 位 或 校 验 有 效 位 有 效 则 此 区 
域 有 效 ， 而 仅 当 路 由 有 效 位 有 效 时 其 中 的 信息 有 效 。 
。 Key〔 密 钥 区 ): 32 位 ， 包 含 封装 操作 插入 的 32 位 二 进 制 数 ， 它 可 以 被 接收 者 用 
来 证 实 分 组 的 来 源 。 当 密 钥 位 有 效 时 此 区 域 有 效 。 
。 Sequence Number( 顺 序号 区 ): 32 位 ， 包 括 由 封装 操作 插入 的 32 位 无 符号 整数 ， 
它 可 以 被 接收 方 用 来 对 那些 做 了 封装 操作 再 传输 到 接收 者 的 报 文 建立 正确 的 
次 序 。 
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(4) 最 后 是 长 度 不 定 的 Routing (路 由 ) 区 。 

一 个 完整 的 GRE 报 文 头 即 由 上 述 的 数据 格式 所 构成 。 

2. GRE 工作 过 程 

因为 GRE 是 Tunnel 接口 的 一 种 封装 协议 ， 所 以 要 进行 GRE 封装 首先 必须 建立 
Tunnel。 一 旦 隧道 建立 起 来 ， 就 可 以 进行 GRE 的 加 封装 和 解 封装 。 

(1) 加 封装 过 程 。 首 先 交 由 IPX 模块 处 理 ，IPX 模块 检查 IPX 包头 中 的 目的 地 址 域 
确定 如 何 路 由 此 包 。 如 果 包 的 目的 地 址 被 发 现 要 路 由 经 过 网 号 为 1f 的 网 络 〈 为 虚拟 网 
号 )， 则 将 此 包 发 给 网 号 为 1f 的 端口 即 Tunnel 端口 。Tunnel 收 到 此 包 后 交 给 GRE 模块 
进行 封装 ，GRE 模块 封装 完成 后 交 由 IP 模块 处 理 ，IP 模块 做 完 相应 处 理 后 根据 此 包 的 
目的 地 址 及 路 由 表 交 由 相应 的 网 络 接口 处 理 。 

(2) 解 封装 的 过 程 。 解 封装 的 过 程 则 和 上 述 加 封装 的 过 程 相反 。 从 Tunnel 接口 收 到 
的 报 文 交 给 IP 模块 ，IP 模块 检查 此 包 的 目的 地 址 ， 发 现 是 此 路 由 器 后 进行 相应 的 处 理 
(和 普通 的 人 P 数据 报 相同 )， 和 剥 掉 IP 包头 然后 交 给 GRE 模块 ，GRE 模块 进行 相应 处 理 
后 (如 检验 密 钥 等 ), 去 掉 GRE 包头 然后 交 给 IPX 模块 , IPX 模块 将 此 包 按 照 普通 的 IPX 
数据 报 处 理 即 可 。 

3. GRE 的 应 用 

GRE 主要 能 实现 以 下 几 种 服务 类 型 。 

(1) 多 协议 的 本 地 网 通过 单一 协议 的 骨干 网 传输 。 如 图 4-96 所 示 , Groupl 和 Group2 
是 运行 IPX 协议 的 本 地 网 ，Terml 和 Term2 是 运行 IP 协议 的 本 地 网 。 通 过 在 Router A 
和 Router B 之 间 采 用 GRE 协议 封装 的 隧道 (Tunnel),Groupl 和 Group2、Teaml 和 Team2 


可 以 互 不 影响 地 进行 通信 。 
Group 2 


IP protocol 
Term 2 


Router B 


图 4-96 多 协议 本 地 网 通过 单一 协议 骨干 网 传输 


(2) 扩大 了 步 跳 数 受 限 协议 的 网 络 的 工作 范围 。 图 4-97 所 示 的 两 台 终 端 之 间 的 步 跳 
数 超过 15， 它 们 将 无 法 通信 。 而 通过 在 网 络 中 使 用 隧道 可 以 隐藏 一 部 分 步 跳 ， 从 而 扩大 
网 络 的 工作 范围 。 
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Router A Router A 
Tunnel 


4-97 扩大 网 络 工作 范围 


(3) 将 一 些 不 能 连续 的 子 网 连接 起 来 ， 用 于 组 建 VPN。 运 行 IPX 协议 的 两 个 子 网 
Groupl 和 Group2 分 别 在 不 同 的 城市 ， 通 过 使 用 隧道 可 以 实现 跨越 广域网 的 VPN， 如 图 
4-98 所 示 。 


Router A Router B 


Tunnel 


图 4-98 ”Tunnel 连接 不 连续 子 网 
(4) 与 IPSec 结合 使 用 。 对 于 诸如 路 由 协议 、 语 音 和 视频 等 数据 先进 行 GRE 封装 ， 


然后 再 对 封装 后 的 报 文 进行 IPSec 的 加 密 处 理 ， 如 图 4-99 所 示 。 


GRE Tunnel 
IPSec Tunnel 


图 4-99 GRE-IPSec 隧道 结合 


另外 ，GRE 还 支持 由 用 户 选择 记录 Tunnel 接口 的 识别 关键 字 ， 以 及 对 封装 的 报 文 
进行 端 到 端 校 验 。 

由 于 GRE 收发 双方 加 封装 、 解 封装 处 理 以 及 由 于 封装 造成 的 数据 量 增加 等 因素 的 
影响 ， 导 致使 用 GRE 会 造成 路 由 器 的 数据 转发 效率 有 一 定 程度 的 下 降 。 
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4.7.3 MPLS VPN 


基于 MPLS 的 VPN 是 VPN 的 一 种 解决 方案 。 在 MPLS 中 , 网 络 供应 商 为 每 个 VPN 
提供 一 个 唯一 的 VPN 标识 符 (VPN-ID), 称 之 为 路 由 识别 符 (Route Distinguisher，RD )， 
这 个 标识 符 在 服务 提供 商 的 网 络 中 是 独一无二 的 。 转 发 表 中 包括 一 个 独一无二 的 地 址 ， 
叫做 VPN-IP 地 址 ， 是 由 RD 和 用 户 的 IP 地 址 连接 形成 。 每 一 个 VPN 用 户 只 能 与 自己 
的 VPN 网 络 中 的 成 员 进行 通信 ， 且 只 有 VPN 的 成 员 才 有 权 进 入 该 VPN。 

BGP 是 一 个 路 由 信息 分 布 协议 ， 它 利用 多 协议 扩展 和 共有 属性 来 定义 VPN 的 连接 
性 。 在 基于 MPLS 的 VPN 中 ，BGP 只 对 同一 个 VPN 的 成 员 发 布 信息 ， 通 过 流量 分 离 来 
提供 基本 的 安全 性 。 因为 数据 是 通过 使 用 LSP 来 转发 的 , LSP 定义 一 条 不 可 改变 的 路 径 ， 
以 保证 其 安全 性 。 这 种 基于 标签 的 模式 可 与 帧 中 继 和 ATM 一 样 提供 安全 性 。 这 种 解决 
方案 的 优势 在 于 ， 服 务 提供 商 可 以 通过 相同 的 网 络 结构 支持 多 种 VPN， 并 不 需要 为 每 一 
个 用 户 建立 单独 的 网 络 。 而 且 ， 这 种 方案 将 IP VPN 的 能 力 内 置 于 网 络 本身 。 所 以 ， 服 
务 提供 商 可 以 为 所 有 租用 者 配置 一 个 网 络 提供 专用 的 卫 服务 ， 如 Intemet 和 Extranet， 
而 无 需 管理 隧道 或 VC 机 制 。 服 务 质量 保证 可 与 基于 MPLS 的 VPN 无 颖 结合 ， 因 为 两 
者 都 是 基于 标签 的 技术 。 基 于 MPLS 的 VPN 网 络 可 以 很 容易 地 与 基于 人 P 的 用 户 网 络 结 
合 起 来 。 租 用 者 可 与 供应 商 提供 的 服务 无 颖 结合， 不 必 改 变 Intemet 应 用 ， 因 为 这 些 网 
络 具有 通晓 性 、 保 密 性 ， 且 将 服务 质量 内 置 于 网 络 中 ， 用户 能 够 使 用 他 们 专 有 的 卫 地 址 
而 无 需 网 络 地 址 翻译 NAT。 

这 种 网 络 结构 目前 可 支持 多 种 VPN， 可 减轻 每 一 个 新 网 络 实施 工作 的 负担 。 这 种 方 
案 易 于 进行 VPN 的 添加 、 移 动 和 改变 。 如 果 某 个 公司 需要 在 自己 的 VPN 中 增加 一 个 站 
点 ， 服 务 提 供 商 只 需 告诉 客户 端 设备 的 路 由 器 如 何 与 网 络 连接 ,并 配置 LSR 识别 来 自 于 
PE 的 VPN 成 员 , BGP 会 自动 更 新 VPN 成 员 。 与 增加 一 台 设备 需要 大 量 操作 的 覆盖 VPN 
相 比 ， 这 种 方案 要 简单 、 迅 速 且 便 宜 得 多 。 


4.7.4 VPDN 


虚拟 专用 网 (Virtual Private Dialup Network，VPDN) 是 基于 拨号 用 户 的 虚拟 专用 拨 
号 网 业务 , 利用 了 P 网 络 的 承载 功能 ,结合 相应 的 认证 和 授权 机 制 ， 可 以 建立 安全 的 虚拟 
专用 网 络 。 

随 着 全 球 范围 内 因特网 的 迅速 发 展 ， 电 子 商 务 的 应 用 正 变 得 越 来 越 广泛 ， 各 种 企业 
用 户 远程 办 公 的 需求 日 益 增 强 ， 用 户 发 现 单 靠 自己 很 难 构造 和 维护 一 个 能 满足 不 断 增强 
需求 的 企业 网 络 ， 而 利用 因特网 的 优势 建设 一 个 网 络 部 署 灵 活 简便 、 一 次 性 投资 较 小 、 
管理 和 维护 成 本 低 的 VPDN 能 很 好 地 满足 用 户 的 这 类 需求 。 它 使 企业 网 络 几 乎 可 以 无 限 
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延伸 到 每 个 角落 ， 从 而 以 安全 、 低 廉 的 网 络 互联 模式 为 应 用 服务 提供 发 展 的 舞台 。 

通过 使 用 VPDN 业务 ， 企 业 出 差 人 员 可 以 远程 经 过 公共 人 P 网 络 ， 通 过 虚拟 的 加 密 
通道 与 企业 内 部 的 网 络 连接 ， 而 公共 网 络 上 的 用 户 则 无 法 穿 过 虚拟 通道 访问 该 企业 的 内 
部 网 络 ， 如 图 4-100 所 示 。 


VPDN 认证 鉴 权 VPDN 隧道 
党国 企业 局 域 网 
| ~ 


图 4-100 VPDN 功能 模块 示意 图 


使 用 VPDN 进行 远程 访问 , 可 以 节约 昂贵 的 长 途 电话 费 ; 可 以 大 大 节约 链 路 租用 费 、 
设备 购置 费 以 及 网 络 维护 费 ， 减 少 企 业 的 运营 成 本 。 除 此 之 外 ， 更 能 将 Intemet、 企 业内 
部 网 络 (Intranet)、 企 业 外 部 网 络 〈Extranet) 及 远程 接 入 功能 (Remote Access) 整合 于 
同一 条 对 外 线路 中 ， 不 需要 像 以 前 那样 ， 同 时 管理 Intemet 专线 、 长 途 数 据 专 线 等 多 种 
不 同 线路 。 企 业 可 以 利用 无 处 不 在 的 Intemet 通过 单一 网 络 结构 为 职员 和 商业 伙伴 提供 
无 经 和 安全 的 连接 ， 基 于 VPDN 的 Extranet 能 加 强 与 用 户 、 商 业 伙伴 和 供应 商 的 联系 ; 
用 户 只 需 与 服务 提供 商 签约 , 将 各 网 络 节点 接 入 公用 网 络 , 并 对 网 络 进行 相关 配置 即 可 。 
企业 可 以 迅速 构建 一 个 属于 自己 的 专用 网 络 ， 增 进 工作 效率 与 员工 生产 力 ， 提 高 企业 整 
体 的 竞争 力 。VPDN 是 逻辑 上 的 网 络 ， 用 户 要 扩大 或 改变 VPDN 覆盖 范围 只 需 再 签约 、 
进行 相应 的 软件 操作 即 可 。VPDN 利用 隧道 技术 ， 通 过 在 公用 网 络 上 建立 逻辑 隧道 、 网 
络 层 的 加 密 以 及 采用 口令 保护 、 身 份 验证 、 权 限 设 置 、 防 火 墙 等 措施 ， 保 证 数据 的 完整 
性 ， 避 免 被 非法 窃取 。 

1. VPDN 的 技术 介绍 

VPDN 有 如 下 三 层 含义 。 

(1) VPDN 是 虚拟 的 网 络 ， 即 没有 固定 的 物理 连接 ， 网 路 只 有 用 户 需 要 时 才 建 立 。 
“虚拟 ”的 概念 是 相对 传统 私人 专用 网 络 的 构建 方式 而 言 的 ， 对 于 广域网 连接 ,传统 的 组 
网 方式 是 通过 远程 拨号 和 专线 连接 来 实现 的 ， 而 VPN 是 利用 服务 提供 商 所 提供 的 公共 
网 络 来 实现 远程 的 广 域 连接 。 

(2) VPDN 是 利用 公众 网 络 设施 构成 的 专用 网 , 构建 在 这 些 公共 网 络 上 的 VPN 将 像 
当前 企业 私有 的 网 络 一 样 提供 安全 性 、 可 靠 性 和 可 管理 性 等 。 

(3) VPDN 是 基于 拨号 用 户 的 ， 不 是 所 有 宽带 、 局 域 网 上 网 方式 都 能 支持 连接 。 
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当 VPDN 用 户 拨号 NSP( 网 络 服务 提供 商 ) 的 网 络 访问 服务 器 NAS (Network Access 
Server)， 发 出 PPP 连接 请 求 ，NAS 收 到 呼叫 后 ， 在 用 户 和 NAS 之 间 建 立 PPP 链 路 ， 然 
后 ，NAS 对 用 户 进行 身份 验证 ， 确 定 是 合法 用 户 ， 就 启动 VPDN 功能 ， 与 公司 总 部 内 部 
连接 ， 访 问 其 内 部 资源 。 拨 号 服务 器 与 公司 的 企业 网 关 之 间 直 接 建立 tunnel， 在 此 过 程 中 
用 户 的 数据 如 IPX、 卫 等 协议 ， 经 过 系列 封装 ， 通 过 tunnel 传递 到 企业 网 关 ， 再 进行 解 
包 ， 传 递 到 企业 内 部 。 

VPDN 结构 示意 图 如 图 4-101 所 示 。 


接 入 服务 器 ”用 户 端 设 备 


saul, (NAS) cr (LNS) =» 
,CDMA ， 

a Brg EF 
用 户 终端 ~ bs = Re 
认证 服务 器 
图 4-101 VPDN 结构 示意 图 


VPDN 的 技术 核心 主要 在 于 隧道 技术 和 安全 技术 ， 网 络 隧道 技术 指 的 是 利用 一 种 网 
络 协议 来 传输 另 一 种 网 络 协 议 ， 它 主要 利用 网 络 隧道 协议 来 实现 这 种 功能 。 

主要 的 节点 设备 如 下 。 

(1) 用 户 端 设备 《Customer Premises Equipment，CPE): 用 户 端 需 具备 作为 VYPDN 
的 网 关 功 能 的 设备 ， 它 位 于 用 户 总 部 ， 可 以 由 企业 网 内 部 的 路 由 器 实现 ， 具 体 可 以 选用 
同时 具备 路 由 功能 和 VPDN 功能 的 网 络 设备 。 

(2) 接 入 服务 器 (Network Access Server，NAS): NAS 由 网 络 运营 商 如 联通 公司 提 
供 并 承担 运 维 工作 ， 其 作用 是 作为 VPDN 的 接 入 服务 器 ， 可 以 提供 广域网 接口 ， 负 责 与 
企业 专用 网 的 VPN 连接 ， 并 支持 各 种 LAN 局 域 网 协议 ， 支 持 安 全 管理 和 认证 ， 支 持 隧 
道 及 相关 技术 。 

(3) 用 户 终端 : 用户 需 具备 能 使 用 CDMA1X 上 网 的 终端 设备 ， 在 目前 ， 可 以 使 用 
的 方式 包括 CDMA1X 无 线 上 网 卡 、CDMA1X 手机 连接 笔记 本 式 计算 机 及 CDMA1X 手 
机 连接 台式 计算 机 等 。 

(4) 用 户 端 认 证 服务 器 : 用 户 端 认证 服务 器 是 可 选 的 设备 ， 用 于 对 登录 用 户 做 鉴 权 
认证 。 为 了 便于 对 用 户 的 账户 密码 资料 进行 管理 ， 一 般 情 况 下 建议 设置 。 

2. VPDN 的 分 类 

VPN 可 以 分 为 拨号 VPN 和 专线 VPN。 而 拨号 VPN 又 可 分 为 客户 发 起 的 〈Client- 
Initiated) VPDN 和 NAS 发 起 的 VPDN。 
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VPN 
拨号 VPN 专线 VPN 
客户 发 起 NAS 发 起 的 IP Tunnel VPN-Netwares 
的 VPN VPN 
FR ATM 
1) 客户 发 起 的 VPDN 


在 客户 发 起 的 VPDN 中 ， 用 户 拨号 到 本 地 的 POP 远程 ， 由 客户 来 发 出 请 求 并 建立 
到 某 企业 内 部 网 的 加 密 隧道 。 为 了 建立 一 个 安全 的 连接 ， 客 户 端 运 行 IPSec 软件 ， 客 户 
软件 与 公司 内 部 网 络 防 火 墙 上 的 IPSec 进程 通信 , 或 者 直接 与 支持 PSec 的 路 由 器 通信 ， 
确保 连接 的 安全 性 。 

这 种 形式 的 VPDN 优点 是 :远程 用 户 能 够 同时 与 多 个 Home Gateway 建立 IP Tunnel。 
远程 用 户 不 必 重 新 拨号 ， 就 可 以 进入 另 一 网 络 。VPDN 的 建立 和 管理 与 ISP 无 关 。 

缺点 是 ， 因为 这 种 加 密 的 VPDN 隧道 对 于 服务 提供 商 而 言 是 透明 的 ， 在 客户 端 需要 
专用 的 拨号 软件 ， 而 且 管 理 移动 PC 上 的 IPSec 客户 端 软件 也 是 麻烦 的 事件 。 

2) NAS 发 起 的 VPDN 

在 NAS 发 起 的 VPDN 中 ， 由 服务 提供 商 的 POP 中 的 NAS 请 求 并 创建 到 客户 公司 
路 由 器 (或 者 Home Gateway) 的 VPDN 隧道 .NAS 使 用 L2F(Layer 2 Forwarding Protocol) 
或 者 L2TP (Layer 2 Tunneling Protocol) 协议 来 建立 到 客户 Home Gateway 的 安全 隧道 。 
L2TP 是 不 久 前 建立 的 标准 , 这 个 标准 结合 了 Cisco 公司 的 L2F 和 微软 公司 的 PPTP 协议 。 
对 于 Home Gateway 来 说 ,L2F 或 L2TP 隧 道 表 现 得 似乎 是 用 户 直接 拨号 到 公司 内 部 网 上 。 

在 这 种 拨号 VPDN 形式 中 ， 用 户 认证 分 两 级 处 理 。 当 用 户 拨 入 时 ， 首 先 由 服务 提供 
商 NAS 执行 基本 的 认证 ， 这 个 认证 仅仅 识别 出 用 户 的 公司 身份 。 然 后 ，NAS 打开 到 用 
户 公 司 Home Gateway 的 隧道 ， 由 Home Gateway 来 执行 用 户 级 的 认证 功能 。 

这 种 VPDN 形式 有 若干 优点 : 对 拨号 用 户 透明 ， 用 户 PC 上 无 需 特殊 的 客户 软件 ， 
因而 管理 简单 化 ， 由 于 是 由 服务 提供 商 初 始 化 隧道 ， 他 们 可 以 提供 优质 的 拨号 VPDN 服 
务 ， 如 通过 预 留 Modem 端口 、 优 先 的 数据 传送 等 手段 保证 拨号 VPDN 用 户 得 到 所 需 的 
服务 ;NAS 可 以 支持 Internet 或 其 他 公用 网 络 和 VPDN 服务 ， 由 于 到 某 一 目的 的 通信 和 量 
全 部 通过 单一 隧道 传送 ， 大 规模 部 署 将 更 具有 可 扩充 性 和 管理 性 。 

这 种 VPDN 形式 存在 的 缺点 有 : 当 远 程 用 户 进入 其 他 网 络 时 ， 需 要 重新 拨号 ,并且 
只 能 以 另 一 用 户 名 登录 ; 远程 用 户 不 能 同时 进入 多 个 网 络 。 
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4.8 企业 网 络 安全 隔离 


4.8.1 网 络 隔离 技术 概述 


网 络 隔离 (Network Isolation) 技术 的 目标 是 确保 把 有 害 的 攻击 隔离 ， 在 可 信和 网络 之 
外 和 保证 可 信和 网 络 内 部 信息 不 外 泄 的 前 提 下 ， 完 成 网 间 数 据 的 安全 交换 。 有 多 种 形式 的 
网 络 隔离 ， 如 物理 隔离 、 协 议 隔 离 和 VPN 隔离 等 。 无 论 采 用 什么 形式 的 网 络 隔离 ， 其 
实质 都 是 数据 或 信息 的 隔离 。 网 络 隔离 的 重点 是 物理 隔离 。 物 理 隔离 的 一 个 特征 ， 就 是 
内 网 与 外 网 永 不 连接 ， 内 网 和 外 网 在 同一 时 间 最 多 只 有 一 个 同 隔离 设备 建立 非 TCP/IP 
协议 的 数据 连接 。 

把 网 络 与 非 安全 区 域 划 开 ， 就 如 同 在 城市 周围 挖 一 条 护城河 ， 然 后 再 建 几 个 可 以 控 
制 的 “吊桥 ?， 保 持 与 城 外 的 互通 。 网 络 隔离 的 重要 内 容 之 一 就 是 研究 “ 桥 ” 上 的 防护 技 
术 。 目 前 有 以 下 几 种 策略 。 

(1) 修 桥 策 略 。 业 务 协 议 直接 通过 ， 数 据 不 重组 ， 对 速度 影响 小 ， 安 全 性 弱 。 例 如 ， 
防火 墙 完成 网 络 层 的 过 滤 ， 而 多 重 安全 网 关 完 成 从 网 络 层 到 应 用 层 的 过 滤 ， 实 现 多 重 关 
卡 策 略 。 

(2) 渡船 策略 。 业 务 协议 不 直接 通过 ， 数 据 要 重组 ， 安 全 性 比较 好 。 例 如 ， 网 闻 采 
用 协议 落地 ， 安 全 检测 依赖 于 现 有 安全 技术 ， 而 交换 网 络 通过 建立 交换 缓冲 区 实现 立体 
化 安全 监控 与 防护 。 

(3) 人 工 策 略 。 不 做 物理 连接 ， 人 工 用 移动 介质 交换 数据 ， 安 全 性 较 好 。 

不 同 的 业务 网 络 根据 自己 的 安全 需求 ， 选 择 不 同 的 网 络 隔离 技术 ， 主 要 是 看 数据 交 
换 的 量 大 小 、 实 时 性 要 求 、 业 务 服务 方式 的 要 求 。 表 4-10 给 出 了 不 同 的 网 络 隔离 技术 的 
比较 。 


表 4-10 不 同 的 网 络 隔离 技术 的 比较 
适合 场合 


网 络 隔离 技术 安 全 性 
人 工 方式 安全 性 最 好 ， 物 理 隔离 适合 临时 的 小 数量 的 数据 交换 


物理 上 上 连接， 采用 完整 安全 保障 体系 的 | 人 i 
数据 交换 网 深层 次 防护 《防护 、 监控、 审计 )， 安 全 | 送信 提供 不 数据 服务 或 实时 的 网 络 服务 ， 支 
程度 依赖 当前 安全 技术 台 
物 环 上 不 同时 连接 ， 对 攻击 防护 好 ， 但 | 适合 定 期 的 批量 数据 交换 ， 但 不 适合 多 应 用 
协议 的 代理 对 病毒 防护 依赖 当前 技术 | 的 穿 透 
不 适合 小 帘 网 络 与 非洲 密 网 络 数据 交换 。 适 
合 办 公 网 络 与 因特网 的 隔离 ， 也 适合 涉 密 网 
络 之 间 的 隔离 

i 适合 网 络 的 安全 区 域 的 隔离 ， 适 合同 安全 级 
防火 墙 网 络 层 的 安全 防护 te 


网 疗 


多 重 安全 网 关 | 从 网 络 层 到 应 用 层 的 防护 
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4.8.2 ”划分 子 网 隔离 


在 工程 实践 中 ， 子 网 划分 是 进行 网 络 隔离 的 常用 方法 ， 但 进行 子 网 划分 不 仅仅 是 为 
了 网 络 隔离 ， 可 能 是 为 了 减轻 系统 的 拥挤 状况 、 方 便 使 用 多 种 媒体 介质 、 方 便 查 找 网 络 
错误 ， 或 者 限制 广播 信息 传播 范围 等 。 例 如 ， 网 络 上 的 两 个 节点 进行 通信 时 占用 了 整个 
网 络 系统 的 带宽 ， 当 增加 节点 时 就 需要 补充 新 的 带宽 。 如 果 将 通信 活动 比较 频繁 的 节点 
分 放 在 各 自 的 子 网 中 ， 就 可 减少 一 个 网 络 上 通信 节点 的 数目 ， 使 得 各 节点 在 较 小 的 网 络 
内 部 相互 通信 ， 从 而 减轻 系统 的 拥挤 程度 。 再 如 ， 要 将 分 布 在 较 广 范围 内 的 所 有 节点 ， 
通过 同 种 介质 连接 成 一 个 单一 的 网 络 ， 不 仅 不 方便 ， 而 且 造 价 太 高 ， 有 时 甚至 是 不 可 能 
的 。 应 根据 具体 情况 ， 先 采用 多 种 介质 将 各 个 节点 连 成 不 同 的 子 网 ， 然 后 再 互 连 成 一 个 
较 大 的 网 络 。 此 外 ， 利 用 子 网 划分 可 以 减轻 CPU 的 负载 。 在 一 个 较 大 的 网 络 上 ， 过 多 的 
节点 数目 可 能 会 导致 网 上 广播 信息 太 多 ， 即 使 某 个 广播 数据 不 是 发 送 给 某 个 节点 的 ， 网 
中 每 个 节点 在 决定 是 否 接收 其 之 前 ， 仍 要 处 理 该 数据 报 ， 这 样 就 加 重 了 连接 到 网 上 各 节 
点 CPU 的 负载 。 

从 网 络 安全 的 角度 ， 划 分 子 网 在 保证 系统 的 安全 性 和 限制 网 络 错误 的 范围 等 方面 也 
非常 重要 。 在 一 个 较 大 的 网 络 中 ， 每 一 个 节点 都 能 访问 发 送 到 网 络 上 的 所 有 数据 报 。 若 
将 一 个 较 大 的 校园 网 划分 成 若干 个 子 网 ， 可 将 一 些 敏感 的 、 需 要 保密 的 信息 限制 在 某 一 
个 子 网 内 ， 以 限制 其 他 子 网 或 网 段 上 节点 对 其 访问 。 此 外 ， 通 过 将 覆盖 范围 较 大 的 校园 
网 划分 成 若干 个 子 网 , 也 可 将 一 些 对 整个 网 络 影响 比较 大 的 网 络 错误 限制 在 很 小 的 范围 。 

子 网 划分 通常 是 由 本 地 网 络 根据 子 网 屏蔽 字 来 进行 的 。 子 网 屏蔽 字 是 一 个 32 位 的 
数字 ， 其 中 所 有 的 1 表示 IP 地 址 中 的 网 络 地 址 段 和 子 网 地 址 段 ， 所 有 的 0 表示 IP 地 址 
中 的 主机 地 址 段 。 子 网 的 划分 要 在 考虑 诸多 因素 的 条 件 下 作出 满足 实际 要 求 和 未 来 发 展 
需要 的 方案 ， 如 网 络 地 址 、 数 据 流量 和 安全 控制 分 域 、 行 政体 制 、 地 理 分 布 等 。 

划分 子 网 的 互 连 和 隔离 可 采用 下 列 方法 。 

(1) 路 由 器 是 网 络 层 互 连 设备 ， 具 有 子 网 互 连 和 隔离 的 作用 ， 且 在 网 络 安全 、 网 络 
管理 和 故障 隔离 等 方面 也 起 着 极为 重要 的 作用 。 采 用 路 由 器 既 可 实现 各 子 网 的 互 连 ， 也 
可 实现 校园 网 与 外 部 其 他 网 络 的 互 连 。 

(2) 采用 交换 式 集线器 实现 主干 网 与 各 局 域 网 的 互 连 ， 这 种 集线器 含有 高 速 背 板 ， 
用 以 连接 各 种 接口 和 功能 模块 ,可 将 各 个 局 域 网 以 桥接 方式 或 路 由 方式 挂 接 到 主干 网 上 ， 
其 性 能 保证 了 本 身 不 会 成 为 网 络 瓶 项 ， 而 且 能 起 到 各 网 段 或 子 网 之 间 的 隔离 作用 。 同 时 
还 提供 了 一 种 非常 灵活 的 网 络 控制 手段 ， 例 如 地 址 过 滤 、 转 发 设 定 和 网 络 结构 控制 等 。 

(3) 工程 实践 中 的 网 络 应 具有 可 伸缩 性 ， 以 适应 网 络 物理 结构 和 有 关 业 务 的 变化 ， 
而 网 络 的 可 伸缩 性 和 网 络 的 虚拟 能 力 密 切 相关 ， 所 以 在 网 络 互 连 时 要 尽量 采用 具有 虚拟 
化 能 力 的 互 连 设 备 。 网 络 的 虚拟 能 力 可 使 一 个 用 户 从 一 个 逻辑 子 网 很 方便 地 转移 到 另 一 
个 逻辑 子 网 内 ， 而 不 受 其 所 在 物理 位 置 的 限制 。 
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(4) 在 结构 化 布线 的 基础 上 采用 结构 化 网 络 设计 ， 使 网 络 尽量 呈现 出 一 种 星 型 或 树 
型 结构 。 这 样 便于 子 网 的 互 连 以 及 网 络 的 拓展 ， 有 利于 网 络 的 管理 和 维护 。 若 再 增加 一 
些 可 靠 性 措施 ， 如 故障 隔离 等 ， 可 进一步 提高 网 络 的 可 靠 性 。 


4.8.3 VLAN 隔离 


1. VLAN 隔离 的 概念 

VLAN 是 一 种 划分 相互 隔离 子 网 的 技术 ， 通 过 将 网 内 设备 逻辑 地 而 不 是 物理 地 划分 
成 一 个 个 网 段 从 而 实现 虚拟 工作 组 。VLAN 一 方面 为 了 避免 当 一 个 网 络 系统 的 设备 数量 
增加 到 一 定 规模 后 ， 大 量 的 广播 报 文 消耗 大 量 的 网 络 带宽 ， 从 而 影响 有 效 数 据 的 传递 ; 
另 一 方面 确保 部 分 安全 性 比较 敏感 的 部 门 不 被 随意 访问 浏览 。 此 外 ，VLAN 能 够 形成 虚 
拟 工作 组 ， 动 态 管理 网 络 。1999 年 ，IEEE 颁布 了 用 以 标准 化 VLAN 实现 方案 的 802.1Q 
协议 标准 草案 。 

2. VLAN 隔离 的 作用 和 优点 

通过 VLAN 隔离 技术 , 可 以 把 一 个 网 络 系统 中 众多 的 网 络 设备 分 成 若干 个 虚拟 的 工 
作 组 ， 组 和 组 之 间 的 网 络 设备 在 二 层 上 相互 隔离 ， 形 成 不 同 的 广播 域 ， 将 广播 流量 限制 
在 不 同 的 广播 域 。 由 于 VLAN 技术 是 基于 二 层 和 三 层 之 间 的 隔离 ， 可 以 将 不 同 的 网 络 用 
户 与 网 络 资源 进行 分 组 并 通过 支持 VLAN 技术 的 交换 机 隔离 不 同 组 内 网 络 设备 间 的 数据 
交换 来 达到 网 络 安全 的 目的 。 该 方式 允许 同一 VLAN 上 的 用 户 互相 通信 ， 而 处 于 不 同 
VLAN 的 用 户 之 间 在 数据 链 路 层 上 是 断 开 的 ， 只 能 通过 三 层 路 由 器 才能 访问 。 

使 用 VLAN 隔离 技术 也 有 一 个 明显 的 缺点 , 那 就 是 要 求 网 络 管理 员 必 须 明确 交换 机 
的 每 一 个 物理 端口 上 所 连接 的 设备 的 MAC 地 址 或 者 人 P 地 址 , 根据 需求 划分 不 同 的 工作 
组 并 对 交换 机 进行 配置 。 当 某 一 网 络 终端 的 网 卡 、 卫 地 址 或 是 物理 位 置 发 生变 化 时 ， 需 
要 对 整个 网 络 系统 中 多 个 相关 的 网 络 设备 进行 重新 配置 ， 这 加 重 了 网 络 管理 员 的 维护 工 
作 量 ， 所 以 也 只 适用 于 小 型 网 络 。 

VLAN 隔离 技术 具有 如 下 优点 。 

(1) 增加 了 网 络 的 连接 灵活 性 。 借 助 VLAN 技术 ， 能 将 不 同 地 点 、 不 同 网 络 、 不 同 
用 户 组 合 在 一 起 ， 形 成 一 个 虚拟 的 网 络 环境 ， 就 像 使 用 本 地 LAN 一 样 方便 、 灵 活 、 有 
效 。VLAN 可 以 降低 移动 或 变更 工作 站 地 理 位 置 的 管理 费用 ， 特 别 是 一 些 业务 情况 有 经 
常 性 变动 的 公司 使 用 了 VLAN 后 ， 这 部 分 管理 费用 大 大 降低 。 

(2) 控制 网 络 上 的 安全 。VLAN 可 以 提供 建立 防火 墙 的 机 制 ， 防 止 交 换 网 络 的 过 量 
广播 。 使 用 VLAN， 可 以 将 某 个 交换 端口 或 用 户 赋予 某 一 个 特定 的 VLAN 组 , 该 VLAN 
组 可 以 在 一 个 交换 网 中 或 跨 接 多 个 交换 机 ， 在 一 个 VLAN 中 的 广播 不 会 送 到 VLAN 之 
外 。 同 样 ， 相 邻 的 端口 不 会 收 到 其 他 VLAN 产生 的 广播 。 这 样 可 以 减少 广播 流量 ， 释 放 
带宽 给 用 户 应 用 ， 减 少 广播 的 产生 。 

(3) 增加 网 络 的 安全 性 。 因 为 一 个 VLAN 就 是 一 个 单独 的 广播 域 , VLAN 之 间 相 互 
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隔离 ， 这 大 大 提高 了 网 络 的 利用 率 ， 确 保 了 网 络 的 安全 保密 性 。 人 们 在 LAN 上 经 常 传 
送 一 些 保密 的 、 关 键 性 的 数据 。 保 密 的 数据 应 提供 访问 控制 等 安全 手段 。 一 个 有 效 和 容 
易 实 现 的 方法 是 将 网 络 分 段 成 几 个 不 同 的 广播 组 , 网 络 管理 员 限制 了 VLAN 中 用 户 的 数 
量 , 禁止 未 经 允许 而 访问 VLAN 中 的 应 用 。 交 换 端口 可 以 基于 应 用 类 型 和 访问 特权 来 进 
行 分 组 ， 被 限制 的 应 用 程序 和 资源 一 般 置 于 安全 性 VLAN 中 。 

3. VLAN 隔离 技术 的 分 类 

VLAN 隔离 技术 可 分 为 基于 端口 的 VLAN、 基 于 MAC 地 址 的 VLAN、 基 于 第 三 层 
的 VLAN 和 基于 策略 的 VLAN。 

(1) 基于 端口 的 VLAN。 基 于 端口 的 VLAN (如 图 4-102) 是 划分 虚拟 局 域 网 最 简 
单 也 是 最 有 效 的 方法 ， 这 实际 上 是 某 些 交换 端口 的 集合 ， 网 络 管理 员 只 需要 管理 和 配置 
交换 端口 ， 而 不 管 交换 端口 连接 什么 设备 。 


去 
5 


192.168.1.12 
图 4-102 基于 端口 的 VLAN 划分 


(2) 基于 MAC 地 址 的 VLAN。 由 于 只 有 网 卡 才 分 配 有 MAC 地 址 ， 因 此 按 MAC 地 
址 来 划分 VLAN 实际 上 是 将 某 些 工作 站 和 服务 器 划 属 于 某 个 VLAN。 事 实 上 , 该 VLAN 
是 一 些 MAC 地 址 的 集合 。 当 设备 移动 时 ，VLAN 能 够 自动 识别 。 网 络 管理 需要 管理 和 
配置 设备 的 MAC 地 址 ， 显 然 当 网 络 规模 很 大 ， 设 备 很 多 时 ， 会 给 管理 带 来 难度 。 

(3) 基于 第 3 层 的 VLAN。 基 于 第 3 层 的 VLAN 是 采用 在 路 由 器 中 常用 的 方法 ， 如 
了 王子 网 和 IPX 网 络 号 等 。 其 中 , 局域网 交换 机 人 允许 一 个 子 网 扩展 到 多 个 局 域 网 交换 端口 ， 
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甚至 允许 一 个 端口 对 应 于 多 个 子 网 。 

(4) 基于 策略 的 VLAN。 基 于 策略 的 VLAN 是 一 种 比较 灵活 有 效 的 VLAN 划分 方 
法 。 常 用 的 策略 往往 与 厂商 设备 的 支持 有 关 ， 如 按 MAC 地 址 、 卫 地 址 、 以 太 网 协议 类 
型 和 网 络 的 应 用 等 。 

4. VLAN 隔离 技术 的 应 用 

在 同一 个 VLAN 中 的 工作 站 , 不 论 它们 实际 与 哪个 交换 机 连接 ,它们 之 间 的 通信 就 
好 像 在 独立 的 集线器 上 一 样 。 同 一 个 VLAN 中 的 广播 只 有 VLAN 中 的 成 员 才 能 听 到 ， 
而 不 会 传输 到 其 他 的 VLAN 中 去 ， 这 样 可 以 很 好 地 控制 不 必要 的 广播 风暴 的 产生 。 同 
时 ， 若 没有 路 由 ,不同 VLAN 之 间 不 能 相互 通信 ， 这 样 增加 了 企业 网 络 中 不 同 部 门 之 间 
的 安全 性 。 网络 管 理 员 可 以 通过 配置 VLAN 之 间 的 路 由 来 全 面 管理 企业 内 部 不 同 管理 单 
元 之 间 的 信息 互 访 。 交 换 机 根据 用 户 工作 站 的 MAC 地 址 来 划分 VLAN， 所 以 ， 用 户 可 
以 自由 地 在 企业 网 络 中 移动 办 公 ， 不 论 他 在 何 处 接 入 交换 网 络 ， 都 可 以 与 VLAN 内 其 他 
用 户 自如 地 通信 。 

目前 , 基于 VLAN 隔离 技术 的 访问 控制 方法 在 一 些 中 小 型 企业 和 校园 网 中 得 到 广泛 
的 应 用 。 

在 安全 性 方面 ，VLAN 隔离 技术 可 以 保证 物理 设备 之 间 的 隔离 ， 但 是 对 于 同一 台 服 
务 器 ， 只 能 做 到 同时 向 多 个 VLAN 组 全 面 开放 或 者 是 只 向 某 个 VLAN 组 开放 ， 而 不 能 
针对 个 别 用 户 进行 限制 。 在 实际 应 用 中 ， 一 台 服 务 器 担当 多 种 服务 器 角色 ， 同 时 为 多 个 
VLAN 组 用 户 提供 不 同 的 服务 ， 这 也 带 来 一 定 的 安全 隐患 。 

例如 ， 一 台 市 场 部 电子 商务 服务 器 存储 有 客户 数据 ， 同 时 它 也 是 一 台 财 务 部 数据 库 
服务 器 ， 存 储 有 财务 数据 ， 这 样 该 服务 器 就 同时 需要 向 市 场 人 员 和 财务 人 员 开放 ， 单 纯 
地 采用 VLAN 技术 就 无 法 避免 市 场 人 员 查 看 财务 数据 ， 当 然 ， 这 种 隐患 可 以 通过 其 他 辅 
助手 段 解决 。 


4.8.4 ”逻辑 隔离 


1. 防火 墙 

防火 墙 是 通过 提供 访问 控制 服务 来 实现 对 内 部 网 络 的 安全 防护 的 , 它 已 经 在 Pntemet 
上 得 到 了 广泛 的 应 用 ， 但 它 只 是 网 络 安全 策略 中 的 一 个 组 成 部 分 。 防 火 墙 技术 不 仅 可 融 
入 加 密 传输 技术 和 认证 技术 ， 而 且 可 结合 安全 协议 ， 以 提供 更 高 的 网 络 安全 性 。 防 火 墙 
是 一 种 网 络 安全 设施 ， 是 执行 访问 控制 策略 的 一 个 或 一 组 软 、 硬 件 系统 。 其 主要 手段 是 
通过 放置 于 网 络 拓扑 结构 的 合适 节点 上 ， 使 其 成 为 内 外 通信 的 唯一 途径 ， 从 而 隔离 内 部 
和 外 部 网 络 。 并 按照 根据 安全 策略 制定 的 过 滤 规 则 《〈 访 问 控制 规则 ) 对 经 过 它 的 信息 流 
进行 监控 和 审查 ， 过 滤 掉 任何 不 符合 安全 规则 的 信息 ， 以 保护 内 部 网 络 不 受 外 界 的 非法 
访问 和 攻击 。 防 火 墙 是 一 种 建立 在 被 认为 是 安全 可 信 的 内 部 网 络 和 被 认为 是 不 太 安全 可 
信 的 外 部 网 络 (Intemet) 之 间 的 访问 控制 机 制 ， 是 安全 策略 的 具体 体现 。 
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2. 多 重 安全 网 关 

防火 墙 是 在 “ 桥 ” 上 架设 的 一 道 关 卡 ， 只 能 做 到 类 似 “ 护 照 ” 的 检查 ; 多 重 安全 网 
关 的 方法 就 是 架设 多 道 关卡 ， 有 检查 行李 的 、 有 检查 人 的 。 多 重 安全 网 关 也 称 为 UTM 
〈 统 一 威胁 管理 )， 实 现 从 网 络 层 到 应 用 层 的 全 面 检查 。 

多 重 安全 网 关 的 检查 分 为 如 下 几 个 层次 。 

(1) FW: 网 络 层 的 ACL。 

(2) IPS: 防 入 侵 行为 。 

(3) AV: 防 病毒 入 侵 。 

(4) 可 扩充 功能 :自身 防 DoS 攻击 、 内 容 过 滤 和 流量 整形 等 。 

多 重 安全 网 关 提 供 了 完全 性 安全 保护 。 这 种 技术 对 OSI 七 层 模型 中 描述 的 所 有 层次 
的 内 容 进行 处 理 ， 其 有 效 性 超过 了 状态 检测 技术 以 及 深度 包 检测 技术 ， 具 备 在 千 兆 网 络 
环境 中 ， 实 时 将 网 络 层 数据 负载 重组 为 应 用 层 对 象 的 能 力 ， 而 且 重 组 之 后 的 应 用 层 对 象 
可 以 通过 动态 更 新 病毒 和 蠕虫 特征 来 进行 扫描 和 分 析 。 多 重 安全 网 关 还 可 探测 其 他 各 种 
威胁 ， 包 括 不 良 Web 内 容 、 垃 圾 邮件 、 间 谍 软 件 和 网 络 钓鱼 欺骗 。 多 重 安全 网 关 通 常 需 
要 应 用 ASIC 技术 来 获得 性 能 保证 。 ASIC 芯片 是 多 重 安全 网 关 的 一 个 关键 组 成 部 分 。 为 
了 提供 千 兆 级 实时 的 应 用 层 安 全 服务 的 平台 ， 专 门 为 网 络 骨干 和 边界 上 高 性 能 内 容 处 理 
设计 的 体系 结构 是 必 不 可 少 的 。ASIC 芯片 集成 了 硬件 扫描 引擎 、 硬 件 加 密 和 实时 内 容 分 
析 处 理 能 力 ， 提 供 防火 墙 、 加 密 / 解 密 ， 特 征 匹配 和 启发 式 数 据 包 扫 描 以 及 流量 整形 的 加 
速 功能 。 在 软件 组 件 方面 ， 多 重 安全 网 关 使 用 专用 的 经 过 定制 的 操作 系统 。 专 用 的 强化 
安全 的 操作 系统 提供 精简 的 、 高 性 能 防火 墙 和 内 容 安全 检测 平台 。 基 于 内 容 处 理 加 速 模 
块 的 硬件 加 速 ， 加 上 智能 排队 和 管道 管理 ， 使 各 种 类 型 流量 的 处 理 时 间 达 到 最 小 ， 从 而 
实时 有 效 地 实现 防 病毒 、 防 火 墙 、VPN、 反 垃圾 邮件 和 IDP 等 功能 。 此 外 ， 基 于 防火 墙 
等 产品 的 经 验 ， 多 重 安全 网 关 在 规则 算法 、 模 式 识别 语言 等 方面 一 般 也 有 特别 的 设计 。 

与 防火 墙 比 较 ， 多 重 安全 网 关 也 是 采用 “ 架 桥 ”的 策略 ， 主 要 是 采用 安全 检查 的 方 
式 ， 不 更 改 应 用 协议 ， 所 以 速度 快 ， 流 量 大 ， 从 客户 应 用 上 来 看 则 没有 不 同 。 

3. 交换 网 络 

交换 网 络 的 模型 来 源 于 银行 系统 的 Clark-Wilson 模型 ， 主 要 是 通过 业务 代理 与 双人 
审计 的 思路 保护 数据 的 完整 性 。 交 换 网 络 是 在 两 个 隔离 的 网 络 之 间 建 立 一 个 网 络 交换 区 
域 ， 负 责 数据 的 交换 。 交 换 网 络 的 两 端 可 以 采用 多 重 网 关 ， 也 可 以 采用 网 闸 。 在 交换 网 
络 内 部 采用 监控 、 审 计 等 安全 技术 ， 整 体 上 形成 一 个 立体 的 交换 网 安全 防护 体系 。 交 换 
网 络 示意 图 如 图 4-103 所 示 。 

交换 网 络 的 核心 也 是 业务 代理 ， 客 户 业 务 要 经 过 接 入 缓冲 区 的 申请 代理 ， 到 业务 组 
冲 区 的 业务 代理 ， 才 能 进入 生产 网 络 。 

交换 网 络 技术 和 网 曾 一 样 ， 都 是 采用 渡船 策略 ， 延 长 数据 通信 “里 程 ” 增加 安全 保 
障 措施 。 
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专线 客户 


数据 交换 网 


| 业务 组 名 区 
(业务 平台 


荔 平 侣 ) 


生产 专用 网 络 


WwWwW 服 业务 业务 代理 ”WWW 服 
务 器 请 务 数据 库 


图 4-103 交换 网 络 示意 图 


4.8.5 物理 隔离 


1. 物理 隔离 的 概念 

在 实行 物理 隔离 之 前 ， 网 络 的 信息 安全 有 许多 措施 ， 如 在 网 络 中 增加 防火 墙 、 防 病 
毒 系统 ， 对 网 络 入 侵 检测 、 漏 洞 扫描 等 。 由 于 这 些 技术 的 极端 复杂 性 与 有 限 性 ， 这 些 在 
线 分 析 技 术 无 法 提供 某 些 机 构 〈 如 军事 、 政 府 和 金融 等 ) 需要 的 高 度数 据 安 全 要 求 。 而 
且 ， 此 类 基于 软件 的 保护 是 一 种 逻辑 机 制 ， 对 于 逻辑 实体 而 言 极 易 被 操纵 。 特 别 是 涉 密 
网 不 能 把 机 密 数 据 的 安全 完全 寄托 在 用 概率 来 作 判 断 的 防护 上 ， 必 须 有 一 道 绝对 安全 的 
大 门 , 保证 涉 密 网 的 信息 不 被 泄露 和 破坏 。 不仅 国 内 涉 密 网 络 的 安全 保密 防护 非常 薄弱 ， 
即使 是 美国 军 方 也 分 别 在 20 世纪 80 年 代 和 1999 年 11 月 两 次 明确 地 要 求 物 理 隔 离 。 
Intemet 前 身 实 际 是 美国 一 个 军 方 网 , 在 发 现 大 量 的 攻击 后 ， 曾 经 大 规模 地 断 开 了 一 些 时 
间 。 我 国 国家 保密 局 于 1999 年 12 月 27 日 发 布 了 物理 隔离 要 求 ，2000 年 1 月 1 日 起 颁 
布 实施 了 《计算 机 信息 系统 国际 联网 保密 管理 规定 》， 其 中 第 二 章 保密 制度 第 六 条 规定 : 
“涉及 国家 秘密 的 计算 机 信息 系统 ,不 得 直接 或 间接 地 与 国际 互联 网 或 其 他 公共 信息 网 络 
相连 接 ， 必 须 实行 物理 隔离 。” 

物理 隔离 的 原理 是 : 每 一 次 数据 交换 ， 物 理 隔 离 都 经 历 了 数据 的 写 入 、 数 据 读 出 两 
个 过 程 ， 内 网 与 外 网 (或 内 网 与 专 网 ) 永 不 连接 ; 内 网 和 外 网 (或 内 网 与 专 网 ) 在 同一 
时 刻 最 多 只 有 一 个 同 物理 隔离 设备 建立 非 TCP/IP 协议 的 数据 连接 .物理 隔离 的 硬件 原理 


第 4 章 网 络 安全 691 


是 利用 单刀 双 掷 开关 使 得 内 外 处 理 单 元 分 时 存 取 共 享 存储 设备 完成 数据 交换 ， 实 现 了 在 
空气 缝隙 隔离 情况 下 的 数据 交换 。 软 件 原理 是 通过 应 用 层 数 据 提取 与 安全 审查 达到 杜绝 
基于 协议 层 的 攻击 和 增强 应 用 层 安全 的 效果 。 

物理 隔离 的 数据 传输 机 制 是 存储 和 转发 。 网 络 隔离 则 是 在 物理 隔离 的 基础 上 ， 综 合 
利用 过 滤 、 认 证 、 日 志 等 技术 和 专用 硬件 ， 保 证 两 个 网 络 在 链 路 层 断 开 的 前 提 下 实现 数 
据 安全 传输 和 资源 共享 ， 实 现 一 个 综合 的 安全 平台 。 

2. 物理 隔离 技术 的 发 展 

物理 隔离 的 发 展 先后 经 历 了 5 代 隔 离 技术 。 

(1) 完全 的 隔离 。 此 方法 使 得 网 络 处 于 信息 孤岛 状态 ， 做 到 了 完全 的 物理 隔离 ， 需 
要 至 少 两 套 网 络 和 系统 ， 更 重要 的 是 信息 交流 的 不 便 和 成 本 的 提高 ， 这 样 给 维护 和 使 用 
带 来 了 极 大 的 不 便 。 

(2) 硬件 卡 隔离 。 在 客户 端 增加 一 块 硬件 卡 ， 客 户 端 硬盘 或 其 他 存储 设备 首先 连接 
到 该 卡 ， 然 后 再 转 接 到 主板 上 ， 通 过 该 卡 能 控制 客户 端 硬盘 或 其 他 存储 设备 。 而 在 选择 
不 同 的 硬盘 时 ， 同 时 选择 了 该 卡 上 不 同 的 网 络 接口 ， 连 接 到 不 同 的 网 络 。 但 是 ， 这 种 隔 
离 产 品 有 的 仍然 需要 网 络 布线 为 双 网 线 结 构 ， 产 品 存在 着 较 大 的 安全 隐患 。 

(3) 数据 转播 隔离 。 利 用 转播 系统 分 时 复制 文件 的 途径 来 实现 隔离 ， 切 换 时 间 非 常 
久 ， 甚 至 需要 手工 完成 ， 不 仅 明显 地 减缓 了 访问 速度 ， 更 不 支持 常见 的 网 络 应 用 ， 失 去 
了 网 络 存在 的 意义 。 

(4) 空气 开关 隔离 。 它 是 通过 使 用 单刀 双 搓 开关 ， 使 得 内 外 部 网 络 分 时 访问 临时 组 
存 器 来 完成 数据 交换 的 ， 但 在 安全 和 性 能 上 存在 许多 问题 。 

(5) 安全 通道 隔离 。 此 技术 通过 专用 通信 硬件 和 专 有 安全 协议 等 安全 机 制 ， 来 实现 
内 外 部 网 络 的 隔离 和 数据 交换 ， 不 仅 解决 了 以 前 隔离 技术 存在 的 问题 ， 并 有 效 地 把 内 外 
部 网 络 隔离 开 来 ， 而 且 高 效 地 实现 了 内 外 网 数据 的 安全 交换 ， 透 明 支持 多 种 网 络 应 用 ， 
成 为 当前 隔离 技术 的 发 展 方向 。 

3. 已 有 物理 隔离 与 数据 自动 交换 技术 

物理 隔离 一 般 是 指 通过 网 络 与 网 络 〈 包 括 电 磁 空 间 ) 分 离 来 实现 的 网 络 隔离 ， 它 是 
网 络 隔离 的 一 种 形式 ， 其 目的 是 禁止 网 络 之 间 的 资源 共享 ， 防 止 一 个 网 络 的 信息 泄露 到 
另 一 个 网 络 上 去 。 物 理 隔离 就 是 必须 严格 从 网 络 的 物理 层 起 就 与 其 他 系统 彻底 隔离 开 来 。 
当然 ， 能 够 实现 基于 第 一 层 的 物理 隔离 是 再 安全 不 过 了 ， 但 是 如 果 没 有 数据 交换 ， 就 难 
以 达到 应 用 的 效果 和 目的 ， 安 全 也 只 是 无 本 之 木 。 

物理 隔离 技术 自问 世 以 来 ， 经 过 实践 的 检验 和 应 用 ， 不 断 发 展 成 熟 ， 目 前 已 经 历 了 
几 个 发 展 阶段 ， 每 个 阶段 都 产生 了 一 种 具有 代表 性 的 产品 或 解决 方案 。 目 前 ， 这 些 物 理 
隔离 产品 和 方案 在 国家 机 要 部 门 内 部 都 有 应 用 ， 但 由 于 这 些 产 品 和 方案 存在 一 些 缺 陷 与 
不 足 ， 还 需要 进一步 的 深入 研究 。 以 下 是 已 有 产品 的 物理 隔离 技术 的 几 种 类 型 。 

(1) 双 机 双 网 技术 。 是 指 配 置 两 台 计算 机 、 分 别 联接 内 外 两 个 网 络 。 它 通过 移动 存 
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储 设备 〈 如 移动 硬盘 ) 交换 数据 。 这 种 方式 存在 着 一 些 缺点 ， 如 导致 投资 成 本 的 增加 、 
占用 较 大 空间 等 。 另 外 ， 双 机 的 使 用 会 带 来 很 多 不 便 ， 网 络 设置 复杂 、 维 护 难度 也 较 大 ， 
一 旦 出 现 问题 ， 会 使 对 效率 要 求 相当 高 的 部 门 受到 很 大 影响 。 

(2) 双 硬 盘 隔 离 卡 技术 。 是 指 在 原 有 机 器 上 增加 一 块 硬盘 和 一 个 隔离 卡 来 实现 物理 
隔离 ， 两 块 硬盘 分 别 对 应 内 外 网 ， 用 户 启动 外 网 时 关闭 内 网 硬盘 ， 启 动 内 网 时 关闭 外 网 
硬盘 。 此 种 隔离 方式 需要 用 户 在 原 有 基础 上 再 多 加 一 块 硬盘 ， 对 于 一 些 配 置 比较 高 、 原 
有 硬盘 比较 大 的 机 器 而 言 ， 造 成 了 无 谓 的 成 本 浪费 ， 而 且 频 繁 地 加 电 和 断 电 容易 对 原 有 
硬盘 造成 损坏 。 由 于 双 硬 盘 隔 离 卡 存在 很 多 缺点 ， 它 只 能 作为 物理 隔离 技术 发 展 过 程 中 
的 替代 产品 存在 。 

(3) 单 硬盘 隔离 卡 〈 客 户 端的 物理 隔离 ) 技术 。 单 硬盘 隔离 卡 是 目前 国内 采用 的 比 
较 多 的 客户 端 物 理 隔离 产品 ， 国 外 也 有 类 似 的 隔离 技术 产品 。 其 实现 原理 是 将 原 计算 机 
(客户 端 ) 的 单个 硬盘 从 物理 层 上 分 割 为 公共 和 安全 两 个 分 区 ,安装 两 套 操作 系统 ， 实 现 
内 外 网 的 安全 隔离 。 虽 然 单 硬盘 隔离 卡 有 严密 的 硬盘 数据 保护 功能 ， 并 有 较 强 的 可 扩展 
功能 ， 如 可 实现 数据 安全 传输 功能 等 ， 但 是 也 很 难 界定 数据 是 否 安全 。 最 大 的 缺陷 是 不 
能 同时 访问 内 外 两 个 网 络 ， 访 问 不 同 的 网 络 需要 重新 开机 和 启动 ， 特 别 是 对 于 经 常 访问 
内 外 两 个 网 络 的 用 户 ， 需 要 频繁 地 在 内 外 两 个 网 络 之 间 进 行 切换 的 应 用 很 不 方便 。 

(4) 集线器 级 的 物理 隔离 。 集 线 器 级 的 物理 隔离 产品 需要 与 客户 端的 物理 隔离 产品 
结合 起 来 应 用 ， 可 以 在 客户 端的 内 外 双 网 的 布线 上 使 用 一 条 网 络 线 来 通过 远 端 切换 器 连 
接 内 外 双 网 ， 实 现 一 台 工 作 站 连接 内 外 两 个 网 络 的 目的 ， 并 在 网 络 布线 上 避免 了 客户 端 
计算 机 要 用 两 条 网 络 线 连接 网 络 。 

(5) 服务 器 端的 物理 隔离 技术 。 服 务 器 端的 物理 隔离 产品 是 一 种 轿 新 的 高 级 隔离 产 
品 ， 它 通过 复杂 的 软 硬 件 技术 实现 了 在 服务 器 端的 数据 过 滤 和 传输 任务 ， 其 技术 关键 还 
是 在 同一 时 刻 内 外 网 络 没有 物理 上 的 数据 连通 ， 但 又 快速 分 时 地 处 理 并 传递 数据 。 

综合 考虑 安全 性 能 、 资 源 占 用 、 费 用 、 维 护 和 管理 等 因素 ， 单 机 双 网 是 目前 应 用 较 
广泛 的 隔离 方法 。 用 户 可 以 根据 自己 的 需要 使 用 热 启动 在 不 同 的 网 络 环境 (内 网 或 外 网 》 
中 自由 切换 ， 操 作 时 还 不 是 十 分 方便 。 另 外 ， 双 硬盘 隔离 卡 、 单 硬盘 隔离 卡 并 没有 满足 
有 关 不 小 于 5m 的 规定 。 

网 络 的 物理 隔离 是 很 多 网 络 设计 者 都 不 愿意 的 选择 ， 网 络 上 要 承载 专用 的 业务 ， 其 
安全 性 一 定 要 得 到 保障 。 然 而 ， 网 络 的 建设 就 是 为 了 互通 的 ， 没 有 数据 的 共享 ， 网 络 的 
作用 也 缩水 了 不 少 ， 因 此 网 络 隔离 与 数据 交换 是 一 对 矛盾 ， 如 何 解决 好 网 络 的 安全 ， 同 
时 又 方便 地 实现 数据 交换 是 网 络 规划 设计 中 的 重要 内 容 。 

以 下 的 组 图 可 以 给 我 们 一 个 清晰 的 概念 ， 在 数据 交换 时 网 络 隔离 是 如 何 实现 的 。 

如 图 4-104 所 示 ， 外 网 是 安全 性 不 高 的 因特网 ， 内 网 是 安全 性 很 高 的 内 部 网 络 。 正 
常情 况 下 ， 隔 离 设备 的 外 部 主机 和 外 网 相连 ， 隔 离 设备 的 内 部 主机 和 内 网 相连 ， 外 网 和 
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内 网 是 完全 断 开 的 。 隔 离 设备 是 一 个 独立 的 固态 存储 介质 和 一 个 单纯 的 调度 控制 电路 。 


4-104 无 数据 交换 的 网 络 断 开 图 


当 外 网 需要 有 数据 送 达 内 网 时 ， 以 电子 邮件 为 例 ， 外 部 主机 先 接收 数据 ， 并 发 起 对 
固态 存储 介质 的 非 TCP/IP 协议 的 数据 连接 , 外 部 主机 将 所 有 的 协议 剥离 , 将 原始 数据 写 
入 固态 存储 介质 。 如 图 4-105 所 示 。 根 据 不 同 的 应 用 ， 可 能 有 必要 对 数据 进行 完整 性 和 
安全 性 检查 ， 如 防 病毒 和 恶意 代码 等 。 


4-105 外 部 主机 与 固态 存储 介质 交换 数据 示意 图 


一 旦 数据 全 部 写 入 存储 介质 ,立即 中 断 与 外 部 主机 的 连接 。 恢复 到 图 4-102 的 状态 ， 
转 而 发 起 对 内 部 主机 的 非 TCP/IP 协议 的 数据 连接 。 固 态 存储 介质 将 数据 发 送 给 内 部 主 
机 。 内 部 主机 收 到 数据 后 ， 立 即 进行 TCP/IP 的 封装 和 应 用 协议 的 封装 ， 并 发 送 给 内 网 。 
如 图 4-106 所 示 。 这 个 时 候 内 网 电子 邮件 系统 就 收 到 了 外 网 的 电子 邮件 系统 通过 网 络 隔 
离 设备 转发 的 电子 邮件 。 
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图 4-106 固态 存储 介质 与 内 部 主机 数据 交换 示意 图 


在 控制 台 收 到 完成 数据 交换 任务 的 信号 之 后 ， 立 即 切断 与 内 部 主机 的 直接 连接 ， 恢 
复 到 网 络 断 开 的 初始 状态 。 

如 果 这 时 内 网 有 电子 邮件 要 发 出 ， 内 部 主机 先 接收 内 部 的 数据 ， 并 建立 与 固态 存储 
介质 之 间 的 非 TCP/IP 协议 的 数据 连接 。 内 部 主机 剥离 所 有 的 TCP/IP 协议 和 应 用 协议 ， 
得 到 原始 的 数据 ， 将 数据 写 入 存储 介质 。 对 其 进行 防 病毒 处 理 、 防 泄密 和 防 恶意 代码 检 
查 。 然 后 中 断 与 内 部 主机 的 直接 连接 。 

一 旦 数据 全 部 写 入 存储 介质 ,立即 中 断 与 内 部 主机 的 连接 。 恢复 到 图 4-102 的 状态 ， 
转 而 发 起 对 外 部 主机 的 非 TCP/IP 协议 的 数据 连接 。 网 络 隔离 将 存储 介质 内 的 数据 发 送 给 
外 部 主机 。 外 部 主机 收 到 数据 后 ， 立 即 进行 TCP/IP 的 封装 和 应 用 协议 的 封装 ， 并 发 送 给 
外 网 。 控 制 台 收 到 处 理 完毕 的 信息 后 ， 立 即 中 断 隔离 设备 与 外 网 的 连接 ， 恢 复 到 完全 隔 
离 状态 。 

每 一 次 数据 交换 ， 隔 离 设备 都 经 历 了 数据 的 接收 、 存 储 和 转发 三 个 过 程 。 由 于 这 些 
规则 都 是 在 内 存 和 内 核 里 完成 的 ， 因 此 速度 上 有 保证 ， 可 以 达到 100% 的 总 线 处 理 能 力 。 

4. 网 阐 和 GAP 技术 

网 络 物理 隔离 的 一 个 特征 ， 就 是 内 网 与 外 网 永 不 连接 。 内 部 主机 和 外 部 主机 在 同一 
时 间 最 多 只 有 一 个 同 固态 存储 介质 建立 非 TCP/IP 协议 的 数据 连接 。 网 络 隔离 的 好 处 是 明 
显 的 ， 即 使 外 网 在 最 坏 的 情况 下 ， 内 网 也 不 会 有 任何 破坏 ， 修 复 外 网 系统 也 非常 容易 。 
以 上 这 种 基于 两 个 单 边 主机 《〈 内 部 主机 和 外 部 主机 ) 之 间 数 据 交换 的 网 络 隔离 技术 ， 被 
称 作 网 闸 。 

网 闸 的 设计 原理 是 基于 “代理 + 摆渡 ”的 概念 。 如 果 把 逻辑 隔离 比 作 在 河上 架 桥 ， 
网 六 可 以 比 作 在 河上 设 摆渡 船 ， 摆 渡船 不 直接 连接 两 岸 ， 安 全 性 当然 要 比 桥 好 ， 即 使 是 
攻击 ， 也 不 可 能 一 下 就 进入 ， 并 且 在 船上 总 要 受到 管理 者 的 各 种 控制 。 协 议 隔离 的 原理 


第 4 章 网 络 安全 695 


则 是 禁止 采用 “集装箱 运输 ” 即 通信 协议 落地 ， 用 专用 协议 、 单 向 通道 技术 和 存储 等 方 
式 阻 断 业 务 的 连接 ， 用 代理 方式 支持 上 层 业 务 。 网 闸 的 功能 有 代理 ， 这 个 代理 不 只 是 协 
议 代理 ， 还 有 数据 的 “拆卸 ”， 把 数据 还 原 成 原始 的 部 分 ， 拆 除 各 种 通信 协议 添加 的 “ 包 
头 包 尾 ”。 很 多 攻击 是 通过 对 数据 的 拆 装 来 隐藏 自己 的 ， 没 有 了 这 些 “ 通 信 管理 ”， 攻击 
的 入 侵 就 很 难 进 入 。 网 闸 的 原理 如 图 4-107 所 示 。 


内 网 网 口 外 网 网 口 


国 外 网 处 理 单元 


B 点 


内 网 处 理 单元 


控制 单元 


隔离 与 交换 | 


数据 交换 区 
图 4-107 网 闸 的 原理 


网 闸 是 很 多 安全 网 络 隔 离 的 选择 ， 但 网 曾 代 理 业 务 的 方式 不 同 ， 协 议 隔离 的 概念 不 
断 变 化 ， 所 以 在 选择 网 闻 时 要 注意 网 闸 的 具体 实现 方式 。 

目前 网 闹 采 用 的 主要 技术 是 GAP 技术 。 它 是 一 种 由 带 有 多 种 控制 功能 的 专用 硬件 
在 电路 上 切断 网 络 之 间 的 链 路 层 连接 ， 同 时 能 够 在 网 络 间 进行 安全 适度 的 应 用 数据 交换 
的 网 络 安全 设备 。GAP 又 称 为 AirGap， 是 指 由 空气 形成 的 用 于 隔离 的 缝隙 。GAP 技术 
是 在 1997 年 左右 ， 最 早 由 以 色 列 的 Whale、Spearllead 等 公司 研制 开发 。2000 年 ， 此 类 
产品 开始 在 国内 出 现 。 

目前 主要 有 三 类 GAP 技术 : 实时 开关 (RealTime Switch)、 单 向 连接 (One-Way link) 
和 网 络 开 关 (Network Switch)。 

实时 开关 的 原理 是 使 用 硬件 连接 两 个 网 络 ， 两 个 网 络 之 间 通 过 硬件 开关 来 保证 不 同 
时 连通 。 通 过 开关 的 快速 切换 ， 并 剥 去 TCP 报头 ， 通 过 不 可 路 由 的 数据 转 存 池 来 实现 数 
据 转发 。 

单 向 传输 是 指数 据 只 能 从 一 个 网 络 单 向 向 另外 一 个 网 络 摆渡 数据 ， 两 个 网 络 是 完全 
断 开 的 。 单 向 连接 实际 上 通过 硬件 实现 一 条 “只 读 ” 的 单 向 传输 通道 来 保证 安全 隔离 。 

网 络 切换 器 即将 一 台 机 器 虚拟 成 两 套 设备 ， 通 过 开关 来 确保 两 套 设备 不 连通 ， 同 一 
时 刻 最 多 只 有 一 个 虚拟 机 是 激活 的 。 这 种 隔离 技术 虽 确 保 了 安全 性 ， 但 实时 性 较 差 ， 不 
过 成 本 较 低 。 
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4.9 公 钥 基础 结构 


4.9.1 公 钥 密码 


4.9.1.1 ” 公 钥 密码 的 思想 


PKI 所 依赖 的 核心 思想 是 公 钥 密码 。 传 统 密码 及 装置 中 ， 转 轮机 器 和 DES 是 密码 学 
发 展 的 重要 标志 ， 但 是 它们 都 是 基于 蔡 换 和 置换 这 些 初 等 方法 。 公 钥 密 码 学 与 其 前 的 密 
码 学 完全 不 同 。 公 钥 算 法 是 基于 数学 函数 而 不 是 基于 蔡 换 和 置换 ， 此 外 ， 与 只 使 用 一 个 
密 钥 的 对 称 传统 密码 不 同 ， 公 钥 密 码 学 是 非 对 称 的 ， 它 依赖 于 一 个 公开 密 钥 和 一 个 与 之 
在 数学 上 相关 但 不 相同 的 私 铀 ， 且 仅 根 据 密码 算法 和 公开 密 钥 来 确定 私 钥 在 计算 上 是 不 
可 行 的 。 公 开 钥 用 于 加 密 和 签名 认证 ， 私 钥 则 对 应 地 用 于 解密 和 签名 。 

使 用 两 个 密 钥 在 消息 的 秘密 性 、 密 钥 分 配 和 认证 领域 有 着 重要 意义 。 公 和 钥 密 码 可 以 
有 效 解决 传统 密码 中 最 困难 的 两 个 问题 : 密 钥 分 配 问题 和 数字 签名 问题 。 

一 是 密 钥 分 配 问题 ,用 传统 密码 进行 密 钥 分 配 要 求 通信 双方 或 者 已 经 共享 一 个 密 钥 ， 
而 该 密 钥 已 通过 某 种 方法 分 配给 通信 双方 ; 或 者 利用 密 钥 分 配 中 心 。 公 和 钥 密码 的 发 明 人 
之 一 Whitfield Diffie 认为 ， 第 二 个 要 求 有 悖 于 密码 学 的 精 钥 ， 即 应 在 通信 过 程 中 完全 保 
持 秘 密 性 。“ 如 果 必 须要 求 用 户 与 KDC 共享 他 们 的 密 钥 ， 这 些 密 钥 可 能 因为 盗窃 或 索取 
而 被 泄密 ， 那 么 设计 不 可 破 的 密码 体制 究竟 还 有 什么 意义 呢 ? ” 

第 二 个 问题 是 数字 签名 问题 ， 即 将 密码 学 用 于 电子 消息 和 文件 的 签名 ， 并 能 确保 数 
字 签 名 是 出 自 某 人 ， 并 且 各 方 对 此 均 无 异议 。 


4.9.1.2” 公 钥 加 密 算法 


1976 年 ，Diffie 和 Hellman 针对 上 述 两 个 问题 公开 提出 公 钥 密码 算法 。 公 钥 密码 算 
法 依赖 于 一 个 加 密 密 钥 和 一 个 与 之 相关 但 不 同 的 解密 密 钥 ， 这 些 算法 具有 这 样 的 特点 ， 
即 仅 根据 密码 算法 和 加 密 密 钥 来 确定 解密 密 钥 在 计算 上 是 不 可 行 的 。 公 钥 加 密 的 主要 步 
又 如 下 。 

(1) 网 络 中 的 每 个 终端 系统 生成 一 对 密 钥 ， 用 来 加 密 和 解密 消息 。 

(2) 每 个 终端 系统 通过 将 其 加 密 密 钥 存 于 公开 的 寄存 器 或 文件 中 , 公布 其 加 密 密 钥 ， 
这 个 密 钥 称 为 公 钥 ; 而 其 解密 密 钥 则 是 秘密 的 。 

(3) 若 A 要 发 消息 给 B， 则 A 用 B 的 公 钥 对 消息 加 密 。 

(4) B 收 到 消息 后 ， 用 其 私 钥 对 消息 解密 。 由 于 只 有 B 知道 其 私 钥 ， 所 以 其 他 的 接 
收 者 均 不 能 解 出 消息 。 

到 目前 为 止 ， 被 广泛 接受 的 公 钥 密码 系统 主要 是 大 整数 因子 分 解 FP 困难 性 的 RSA 
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系统 和 基于 椭圆 曲线 离散 对 数 ECDLP 的 计算 困难 性 的 ECC 系统 。 

MIT 的 Ron Rivest、Adi Shamir 和 Len Adleman 于 1977 年 提出 并 于 1978 年 首次 发 
表 的 算法 [RIVE78]， 可 以 说 是 最 早 提出 的 公 钥 算法 之 一 。Rivest Shamir Adleman (RSA) 
算法 自 其 诞生 之 日 起 就 一 直 是 最 为 重要 的 公 钥 算法 。 

RSA 体制 是 一 种 分 组 密码 ， 其 明文 和 密 文 均 是 0~n-1l 之 间 的 整数 。RSA 系统 的 安 
全 性 主要 是 基于 大 整数 因子 分 解 的 困难 性 , 而 大 整数 因子 分 解 问题 是 数学 上 的 著名 难题 ， 
至 今 没 有 有 效 的 方法 予以 解决 ， 因 此 可 以 确保 RSA 算法 的 安全 性 。RSA 算法 的 明文 以 
分 组 为 单位 进行 加 密 ， 每 个 分 组 的 二 进 制 值 均 小 于 nm。 也 就 是 说 ， 分 组 的 大 小 必须 小 于 或 
等 于 logx Cn) 位 。 在 实际 应 用 中 ， 分 组 的 大 小 是 k 位 ， 其 中 2 < n < 2*?。 对 明文 分 组 
M 和 密 文 分 组 C， 加 密 和 解密 过 程 如 下 。 

加 密 过 程 : C=M* modn 

解密 过 程 : M= Cdmodn= (M94 modn=M” modn 

其 中 ， 收 发 双方 均 已 知 n， 发 方 已 知 e， 只 有 收 方 已 知 d， 公 钥 为 KU= {fe，n}， 私 
钥 为 KR= {d，n}。 算 法 的 参数 满足 下 列 条 件 : 


素数 p 和 q 为 素数 (保密 ， 由 用 户 选 定 》 
n=pq (公开 ， 由 计算 得 出 》 
e 满 足 gcd (gg (n), e)=1; 1<e< 中 (n) (公开 ， 由 用 户 选 定 ) 
d=e! mod 由 (n) (保密 ， 由 计算 得 出 》 


ECC 系统 的 安全 性 主要 依赖 于 椭圆 曲线 离散 对 数 的 计算 困难 性 。 自 1985 年 , Neal Koblitz 
和 Victor Miller 提出 ECC 算法 以 来 , ECC 密码 系统 的 协议 和 标准 被 多 家 著名 国际 标准 组 
织 所 接受 。 建 立 在 椭圆 曲线 离散 对 数 问题 上 的 加 密 方法 则 称 为 李 圆 曲线 加 密 方法 ， 简 称 
ECC 方法 , 它 较 通常 的 离散 对 数 问 题 更 为 困难 ， 因 此 可 以 确保 ECC 系统 的 安全 性 。ECC 
算法 的 安全 性 来 源 于 它 的 破解 需要 指数 级 的 运算 ; 而 RSA 的 破解 只 需要 次 指数 级 的 运 
算 。 较 之 于 RSA， 基 于 离散 对 数 问题 的 ECC 系统 由 于 其 基础 域 的 表示 非常 丰富 ， 因 此 ， 
在 此 基础 上 可 对 其 表示 进行 优化 。 而 RSA 及 离散 对 数 问 题 的 素数 选择 必须 满足 “安全 性 
原则 ” 因此 受到 了 更 多 的 限制 。 通 过 比较 破解 ECC 和 破解 RSA 的 年 数 可 以 知道 ，ECC 
要 想得到 与 RSA 相当 的 安全 性 ， 只 需要 短 得 多 的 密 钥 。 例 如 ，192 位 模 长 的 ECC 的 安 
全 性 与 1600 位 模 长 的 RSA 的 安全 性 相当 。 显 然 ， 更 小 的 密 钥 将 可 以 带 来 更 小 的 系统 参 
数 、 更 小 的 公 钥 证 书 ， 耗 用 更 小 的 带宽 、 速 度 更 快 、 能 耗 更 低 、 处 理 器 更 小 。 在 广泛 的 
研究 和 密码 经 验 的 基础 上 ， 诸 多 产业 领先 者 都 已 经 将 椭圆 曲线 密码 系统 作为 一 种 成 熟 技 
术 应 用 于 产业 领域 。 


4.9.1.3 ”数字 签名 算法 


数字 签名 是 利用 一 套 规则 和 一 个 参数 集 对 数据 计算 所 得 的 结果 ， 用 此 结果 能 够 确认 
签名 者 的 身份 和 数据 的 完整 性 ， 这 里 的 数据 计算 通常 是 密码 变换 。 
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简单 地 说 ， 数 字 签 名 就 是 附加 在 数据 单元 上 的 一 些 数据 ， 或 是 对 数据 单元 所 作 的 密 
码 变换 。 这 种 数据 或 变换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 的 来 源 和 数据 单元 的 
完整 性 并 保护 数据 ， 防 止 被 他 人 进行 伪造 。 基 于 公 钥 密码 体制 和 私 钥 密码 体制 都 可 以 获 
得 数字 签名 ， 目 前 主要 是 基于 公 钥 密码 体制 的 数字 签名 ， 包 括 普通 数字 签名 和 特殊 数字 
签名 。 普 通 数字 签名 算法 有 RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、 
Ong-Schnorr-Shamir 数字 签名 算法 、DSA、 李 上 圆 曲线 数字 签名 算法 和 有 限 自 动机 数字 签 
名 算法 等 。 特 殊 数 字 签名 有 讶 签名、 代理 签名 、 群 签名 、 不 可 否认 签名 、 公 平 盲 签名 、 
门限 签名 和 具有 消息 恢复 功能 的 签名 等 ， 它 与 具体 应 用 环境 密切 相关 。 

数字 签名 (digital signature) 技术 是 不 对 称 加 密 算法 的 典型 应 用 。 数 字 签 名 的 应 用 过 
程 是 ， 数 据 源 发 送 方 使 用 自己 的 私 钥 对 数据 校 验 和 或 其 他 与 数据 内 容 有 关 的 变量 进行 加 
密 处 理 ， 完 成 对 数据 的 合法 “签名 ”， 数 据 接收 方 则 利用 对 方 的 公 钥 来 解读 收 到 的 “数字 
签名 ” 并 将 解读 结果 用 于 对 数据 完整 性 的 检验 ， 以 确认 签名 的 合法 性 。 数 字 签 名 技术 是 
在 网 络 系统 虚拟 环境 中 确认 身份 的 重要 技术 ， 完 全 可 以 代替 现实 过 程 中 的 “亲笔 签字 ”， 
在 技术 和 法 律 上 有 保证 。 数 字 签名 主要 的 功能 是 : 保证 信息 传输 的 完整 性 、 发 送 者 的 身 
份 认证 、 防 止 交易 中 的 抵赖 发 生 。 

数字 签名 技术 是 将 摘要 信息 用 发 送 者 的 私 钥 加 密 ， 与 原文 一 起 传送 给 接收 者 。 接 收 
者 只 有 用 发 送 的 公 钥 才能 解密 被 加 密 的 摘要 信息 , 然后 用 hash 函数 对 收 到 的 原文 产生 一 
个 摘要 信息 ， 与 解密 的 摘要 信息 对 比 。 如 果 相 同 ， 则 说 明 收 到 的 信息 是 完整 的 ， 在 传输 
过 程 中 没有 被 修改 ， 否 则 说 明 信 息 被 修改 过 ， 因 此 数字 签名 能 够 验证 信息 的 完整 性 。 

美国 国家 标准 与 技术 研究 所 (NIST) 发 布 的 联邦 信息 处 理 标 准 FIPS PUB186， 称 为 
数字 签名 标准 DSS。DSS 利用 安全 hash 算法 SHA 和 公 钥 技术 ， 给 出 了 数字 签名 算法 
(DSA)。DSS 使 用 的 是 只 提供 数字 签名 功能 的 算法 。 与 RSA 不 同 ，DSS 是 一 种 公 钥 方 
法 ， 但 不 能 用 于 加 密 或 密 钥 分 配 。 在 RSA 方法 中 ，hash 函数 的 输入 是 要 签名 的 消息 ， 
输出 是 定 长 的 hash 码 ， 用 发 方 的 私 钥 对 该 hash 码 加 密 形成 签名 ， 然 后 发 送 消息 及 其 签 
名 。 收 方 用 发 方 的 公 钥 对 签名 解密 ， 如 果 计 算出 的 hash 码 与 解密 出 的 结果 相同 ， 则 认为 
签名 是 有 效 的 。 因 为 只 有 发 方 拥有 私 钥 ， 因 此 只 有 发 方 能 够 产生 有 效 的 签名 。DSA 则 是 
建立 在 求 离 散 对 数 的 困难 性 之 上 的 。 


4.9.2 ”PKI 组 成 


4.9.2.1 PKI 的 概念 


公 钥 基础 设施 (Public Key Infrastructure，PKI) 是 一 个 采用 公 钥 概念 和 技术 来 提供 
安全 服务 的 具有 普 适 性 的 安全 基础 设施 ， 是 目前 网 络 安全 建设 的 基础 与 核心 。PKI 由 公 
开 密 钥 密 码 技术 、 数 字 证 书 、 证 书 发 放 机 构 和 关于 公开 密 钥 的 安全 策略 等 基本 成 分 共同 
组 成 的 。 
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PKI 采用 证 书 进行 公 钥 管理 ， 通 过 第 三 方 的 可 信任 机 构 ( 认 证 中 心 ， 即 CA)， 把 用 
户 的 公 钥 和 用 户 的 其 他 标识 信息 捆绑 在 一 起 ， 其 中 包括 用 户 名 和 电子 邮件 地 址 等 信息 ， 
以 在 Intemet 上 验证 用 户 的 身份 。PKI 把 公 钥 密码 和 对 称 密码 结合 起 来 ， 在 Intemet 上 实 
现 密 钥 的 自动 管理 ， 保 证 网 上 数据 的 安全 传输 。 

因此 , 从 大 的 方面 来 说 , 所 有 提供 公 钥 加 密 和 数字 签名 服务 的 系统 , 都 可 归结 为 PKI 
系统 的 一 部 分 。PKI 的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 ， 为 用 户 建立 起 一 个 安全 的 
网 络 运行 环境 ， 使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ， 从 而 保 
证 网 上 数据 的 机 密 性 、 完 整 性 和 有 效 性 。 数 据 的 机 密 性 是 指数 据 在 传输 过 程 中 不 能 被 非 
授权 者 偷 看 ， 数 据 的 完整 性 是 指数 据 在 传输 过 程 中 不 能 被 非法 算 改 ;数据 的 有 效 性 是 指 
数据 不 能 被 否认 。 

一 个 有 效 的 PKI 系统 必须 是 安全 的 和 透明 的 ， 用 户 在 获得 加 密 和 数字 签名 服务 时 ， 
不 需要 详细 地 了 解 PKI 的 内 部 运作 机 制 。 在 一 个 典型 、 完 整 和 有 效 的 PKI 系统 中 ， 除 证 
书 的 创建 和 发 布 ， 特 别 是 证 书 的 撤消 外 ， 一 个 可 用 的 PKI 产品 还 必须 提供 相应 的 密 钥 管 
理 服务 ， 包 括 密 钥 的 备份 、 恢 复 和 更 新 等 。 没 有 一 个 好 的 密 钥 管理 系统 ， 将 极 大 地 影响 
一 个 PKI 系统 的 规模 、 可 伸缩 性 和 在 协同 网 络 中 的 运行 成 本 。 在 一 个 企业 中 ，PKI 系统 
必须 有 能 力 为 一 个 用 户 管理 多 对 密 钥 和 证 书 ， 能 够 提供 安全 策略 编辑 和 管理 工具 ， 如 密 
钥 周期 和 密 钥 用 途 等 。 

PKI 作为 一 组 在 分 布 式 计算 系统 中 利用 公 钥 技术 和 X.S09 证 书 所 提供 的 安全 服务 ， 
企业 或 组 织 可 利用 相关 产品 建立 安全 域 ， 并 在 其 中 发 布 密 钥 和 证 书 。 在 安全 域内 ，PKI 
管理 加 密 密 钥 和 证 书 的 发 布 ， 并 提供 诸如 密 钥 管理 〈 包 括 密 钥 更 新 、 密 钥 恢 复 和 密 钥 委 
托 等 )、 证 书 管理 (包括 证 书 产生 和 撤销 等 ) 和 策略 管理 等 。 PKI 产品 也 允许 一 个 组 织 通 
过 证 书 级 别 或 直接 交叉 认证 等 方式 来 同 其 他 安全 域 建立 信任 关系 。 这 些 服务 和 信任 关系 
不 能 局 限于 独立 的 网 络 之 内 ， 而 应 建立 在 网 络 之 间 和 Interet 之 上 ， 为 电子 商务 和 网 络 
通信 提供 安全 保障 ， 所 以 具有 互 操作 性 的 结构 化 和 标准 化 技术 成 为 PKI 的 核心 。 

PKI 在 实际 应 用 上 是 一 套 软 硬 件 系 统 和 安全 策略 的 集合 , 它 提供 了 一 整套 安全 机 制 ， 
使 用 户 在 不 知道 对 方 身份 或 分 布地 很 广 的 情况 下 ， 以 证 书 为 基础 ， 通 过 一 系列 的 信任 关 
系 进行 通信 和 电子 商务 交易 。 

PKI 体系 结构 如 图 4-108 所 示 。 


4.9.2.2 ”典型 的 PKI 系统 组 成 


一 个 典型 的 PKI 系统 如 图 4-109 所 示 , 其 中 包括 PKI 策略 及 软 硬 件 系 统 、 证 书 机 构 、 
注册 机 构 、 证 书 发 布 系统 和 PKI 应 用 等 。 

(1) PKI 策略 及 软 硬 件 系统 。PKI 安全 策略 建立 和 定义 了 一 个 组 织 信息 安全 方面 的 
指导 方针 ， 同 时 也 定义 了 密码 系统 使 用 的 处 理 方法 和 原则 。 它 包括 一 个 组 织 怎样 处 理 密 
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钥 和 有 价值 的 信息 ， 根 据 风 险 的 级 别 定义 安全 控制 的 级 别 。 一 般 情况 下 ，PKI 中 有 两 种 
类 型 的 策略 : 一 是 证 书 策略 ， 用 于 管理 证 书 的 使 用 ， 如 可 以 确认 某 一 CA 是 在 Intemet 
上 的 公有 CA， 还 是 某 一 企业 内 部 的 私有 CA; 另外 一 种 就 是 CPS (Certificate Practice 
Statement)。 一 些 由 商业 证 书 发 放 机 构 〈CCA) 或 者 可 信 的 第 三 方 操作 的 PKI 系统 需要 
CPS， 它 实际 上 是 一 些 操作 过 程 的 详细 文档 ， 描 述 了 如 何在 实践 中 增强 和 支持 安全 策略 ， 
包括 CA 是 如 何 建立 和 运作 的 ， 证 书 是 如 何 发 行 、 接 收 和 废除 的 ， 密 钥 是 如 何 产生 、 注 
册 的 ， 以 及 密 钥 是 如 何 存储 的 ， 用 户 是 如 何 得 到 它 的 等 。 


| 中 终端 实体 
操 
PKI 用 户 
是 管理 事务 和 
PK! 管 理 实体 


扫 发 布 证 书 
列 
表 
[4 
和 发 布 证 书 和 CRL 


管理 事务 


| 人 | 
发 布 CRL CRL 发 布 者 CA 


图 4-108 PKI 的 体系 结构 


(2) 证 书 机 构 。 证 书 机 构 是 PKI 的 信任 基础 ， 它 管理 公 钥 的 整个 生命 周期 ， 其 作用 
包括 发 放 证 书 、 规 定 证 书 的 有 效 期 和 通过 发 布 证 书 废除 列表 〈CRL) 确保 必要 时 可 以 废 
除 证 书 。 

(3) 注册 机 构 。 注 册 机 构 提 供用 户 和 CA 之 间 的 一 个 接口 ， 它 获取 并 认证 用 户 的 身 
份 ， 向 CA 提出 证 书 请 求 。 它 主要 完成 收集 用 户 信 息 和 确认 用 户 身份 的 功能 。 这 里 的 用 
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户 是 指 将 要 向 认证 中 心 申请 数字 证 书 的 客户 ， 可 以 是 个 人 ， 也 可 以 是 集团 或 团体 、 某 政 
府 机 构 等 。 注 册 管 理 一 般 由 一 个 独立 的 注册 机 构 来 承担 。 它 接受 用 户 的 注册 申请 ， 审 查 
用 户 的 申请 资格 ， 并 决定 是 否 同意 CA 给 其 签发 数字 证 书 。 注 册 机 构 并 不 给 用 户 签发 证 
书 ， 而 只 是 对 用 户 进行 资格 审查 。 因 此 ，RA 可 以 设置 在 直接 面 对 客户 的 业务 部 门 ， 如 
银行 的 营业 部 、 机 构 认 识 部 门 等 。 当 然 ， 对 于 一 个 规模 较 小 的 PKI 应 用 系统 来 说 ， 可 把 
注册 管理 的 职能 由 认证 中 心 来 完成 ， 而 不 设立 独立 运行 的 RA。 但 这 并 不 是 取消 了 PKI 
的 注册 功能 , 而 只 是 将 其 作为 CA 的 一 项 功能 而 已 。PKI 国际 标准 推荐 由 一 个 独立 的 RA 
来 完成 注册 管理 的 任务 ， 可 以 增强 应 用 系统 的 安全 。 

(4) 证 书 发 布 系统 。 证 书 发 布 系统 负责 证 书 的 发 放 ， 如 可 以 通过 用 户 自己 或 是 通过 
目录 服务 。 目 录 服 务 器 可 以 是 一 个 组 织 中 现存 的 ， 也 可 以 是 PKI 方案 中 提供 的 。 


rr-—---------” 


' PKI 应 用 
| 证 书 机 构 注册 机 构 证 书 发 布 系统 。 
1 1 
| yo 全 Ca ee 
HU 1 
; PKI 策略 软 硬 件 系统 。 


图 4-109 ”PKI 组 成 框图 


4.9.3 证 书 认证 机 构 
4.9.3.1 XX.509 证 书 和 CRL 


X.509 证 书 是 由 国际 电信 联盟 (ITU-T) 为 了 提供 公用 网 络 用 户 目 录 信 息 服务 ， 于 
1988 年 制定 的 数字 证 书 标准 。 其 中 ，X.500 和 X.509 是 安全 认证 系统 的 核心 ，X.500 定 
义 了 一 种 区 别 命 名 规则 ， 以 命名 来 确保 用 户 名 称 的 唯一 性 ，X.509 则 为 X.500 用 户 名 称 
提供 了 通信 实体 鉴别 机 制 ， 并 规定 了 督促 检查 体 鉴 别 过 程 中 广泛 适用 的 证 书 语法 和 数据 
接口 ，X.509 称 之 为 证 书 。 

用 户 公 钥 证 书 是 X.509 的 核心 ， 证 书 由 某 个 可 信 的 证 书 发 放 机 构建 立 ， 并 由 CA 或 
用 户 自己 将 其 放 入 目录 中 ， 以 供 其 他 用 户 方 便 地 访问 。X.509 证 书 由 用 户 公共 密 钥 与 用 
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户 标识 符 组 成 ， 此 外 还 包括 版 本 号 、 证 书 序列 号 、CA 标识 符 和 签发 算法 标识 等 ， 具 体 
格式 如 下 所 述 。 


版 本 号 
顺序 号 
算法 
签字 算法 的 识别 符 参数 
发 放 者 名 称 
起 始 时 间 
有 效 期 { 终止 时 间 
主体 名 称 


参数 
公开 钥 
发 放 者 唯一 识别 符 
主体 唯一 识别 符 
扩充 域 


算法 
签字 | 参数 


算法 
主体 的 公 铀 信息 | 


之 


签字 


其 中 各 参数 的 含义 如 下 。 

。 证 书 版 本 号 〈Version): 指明 X.509 证 书 的 格式 版 本 ， 现 在 的 值 可 以 为 0，1，2， 
也 为 将 来 的 版 本 进行 了 预定 义 。 

。 证 书 序 列 号 〈SerialNumber): 序列 号 指定 由 CA 分 配给 证 书 的 唯一 的 数字 型 标识 
符 。 当 证 书 被 取消 时 ， 实 际 上 是 将 此 证 书 的 序列 号 放 入 由 CA 签发 的 CRL 中 , 这 
也 是 序列 号 唯一 的 原因 。 

。 签名 算法 标识 符 〈Signature): 用 来 指定 由 CA 签发 证 书 时 所 使 用 的 签名 算法 。 算 
法 标识 符 用 来 指定 CA 签发 证 书 时 所 使 用 的 公开 密 钥 算 法 和 hash 算法 , 须 向 国际 
知名 标准 组 织 〈 如 ISO) 注册 。 

。 签发 机 构 名 〈Issuer): 此 域 用 来 标识 签发 证 书 的 CA 的 X.500 DN 名 字 。 包 括 国 
家 、 省 市 、 地 区 、 组 织 机 构 、 单 位 部 门 和 通用 名 。 

。 有效期 (Validity): 指定 证 书 的 有 效 期 ， 包 括 证 书 开始 生效 的 日 期 和 时 间 以 及 失 
效 的 日 期 和 时 间 。 每 次 使 用 证 书 时 ， 需 要 检查 证 书 是 否 在 有 效 期 内 。 

。 证 书 用 户 名 (Subject): 指定 证 书 持 有 者 的 X.500 唯一 名 字 。 包 括 国家 、 省 市 、 
地 区 、 组 织 机 构 、 单 位 部 门 和 通用 名 ， 还 可 包含 E-mail 地 址 等 个 人 信息 等 。 

。 证 书 持 有 者 公开 密 钥 信息 (SubjectPublicKeyInfo): 包含 证 书 持 有 者 的 公开 密 钥 
的 值 和 公开 密 钥 使 用 的 算法 标识 符 两 个 重要 信息 。 此 标识 符 包含 公开 密 钥 算 法 和 
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hash 算法 。 

。 签发 者 唯一 标识 符 〈Issuer Unique Identifier): 在 第 2 版 加 入 证 书 定义 中 。 此 域 用 
在 当 同 一 个 X.500 名 字 用 于 多 个 认证 机 构 时 ， 用 一 位 字符 串 来 唯一 标识 签发 者 的 
X.500 名 字 。 可 选 。 

。 证 书 持 有 者 唯一 标识 符 (Subject Unique Identifier): 在 第 2 版 的 标准 中 加 入 X.509 
证 书 定义 。 此 域 用 在 当 同 一 个 X.500 名 字 用 于 多 个 证 书 持 有 者 时 ， 用 一 位 字符 串 
来 唯一 标识 证 书 持 有 者 的 义 .500 名 字 。 可 选 。 

。 签名 值 〈Issuers Signature): 证 书签 发 机 构 对 证 书 上 述 内 容 的 签名 值 。 

为 了 适应 PKI 技 术 的 发 展 ,IETF 也 必须 制定 在 Intemet 上 使 用 X.509 和 CRL 的 标准 。 
PKIX 工作 组 就 提供 了 一 个 Intemet 草案 Part I: 。 X.509 Certificate and CRL Profile (详细 
内 容 可 见 ftp: /ftp.ietforg/intemet-drafts/draft-ietf-pkix-ipki-partl-11.kkt)， 用 于 定义 在 
Intemet PKI 中 使 用 X.309 和 CRL 的 方法 和 规范 。 该 草案 把 X.509 作为 标准 ， 并 对 各 标 
准 项 和 扩展 做 了 说 明 , 基本 接收 了 X.509 作为 Intemet 中 的 证 书 标准 , 但 也 定义 了 被 PKI 
应 用 的 X.509 V3 和 CRL V2 标准 格式 的 设置 ， 这 些 设置 包含 了 PKIX 工作 组 对 X.509 所 
做 的 一 些 新 的 扩展 。 

X.509 目前 有 三 个 版 本 : V1、V2 和 V3， 其 中 ，V3 是 在 V2 的 基础 上 加 上 扩展 项 后 
的 版 本 ， 这 些 扩 展 包括 由 ISO 文档 (X.509-AM) 定义 的 标准 扩展 ， 也 包括 由 其 他 组 织 或 
团体 定义 或 注册 的 扩展 项 。X.509 由 ITU-T X.509( 前 身 为 CCITT X.509) 或 ISO/IEC 9594-8 
定义 ,最 早 以 X.500 目录 建议 的 一 部 分 发 表 于 1988 年 ,并 作为 V1 版 本 的 证 书 格式 .X.500 
于 1993 年 进行 了 修改 ， 并 在 V1 基础 上 增加 了 两 个 额外 的 域 ， 用 于 支持 目录 存 取 控制 ， 
从 而 产生 了 V2 版 本 。 

为 了 适应 新 的 需求 , ISO/TEC 和 ANSI X9 发 展 了 X.509 V3 版 本 证 书 格式 , 该 版 本 证 
书 通 过 增加 标准 扩展 项 对 V1 和 V2 证 书 进 行 了 扩展 。 另外, 根据 实际 需要 ,各 个 组 织 或 
团体 也 可 以 增加 自己 的 私有 扩展 。X.509 V3 证 书 是 在 V2 的 基础 上 以 标准 形式 或 普通 形 
式 增 加 的 扩展 项 ， 以 使 证 书 能 够 附带 额外 信息 。 标 准 扩展 是 指 由 X.509 V3 版 本 定义 的 对 
V2 版 本 增加 的 具有 广泛 应 用 前 景 的 扩展 项 , 任何 人 都 可 以 向 一 些 权 威 机 构 如 ISO, 来 注 
册 一 些 其 他 扩展 ， 如 果 这 些 扩展 项 应 用 广泛 ， 也 许 以 后 会 成 为 标准 扩展 项 。 

证 书 废除 列表 〈Certificate Revocation Lists，CRL， 又 称 证 书 黑 名 单 ) 为 应 用 程序 和 
其 他 系统 提供 了 一 种 检验 证 书 有 效 性 的 方式 。 任 何 一 个 证 书 废除 以 后 ， 证 书 机 构 会 通过 
发 布 CRL 的 方式 来 通知 各 个 相关 方 。 目 前 ， 同 X.509 V3 证 书 对 应 的 CRL 为 X.509 V2 
CRL， 其 所 包含 的 内 容 格式 如 下 。 

。 CRL 的 版 本 号 : 0 表示 X.509 V1 标准 ; 1 表示 X.509 V2 标准 。 目 前 常用 的 是 同 

X.509 V3 证 书 对 应 的 CRL V2 版 本 。 

。 签名 算法 : 包含 算法 标识 和 算法 参数 ， 用 于 指定 证 书签 发 机 构 用 来 对 CRL 内 容 

进行 签名 的 算法 。 
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。 证 书签 发 机 构 名 : 签发 机 构 的 DN 名 ， 由 国家 、 省 市 、 地 区 、 组 织 机构 、 单 位 部 
门 和 通用 名 等 组 成 。 
此 次 签发 时 间 : 此 次 CRL 签发 时 间 ， 遵 循 ITU-TX.509 V2 标准 的 CA 在 2049 年 
之 前 把 这 个 域 编码 为 UTCTime 类 型 ， 在 2050 年 或 2050 年 之 后 把 这 个 域 编码 为 
GeneralizedTime 类 型 。 
下 次 签发 时 间 : 下 次 CRL 签发 时 间 ， 遵循 ITU-T X.509 V2 标准 的 CA 在 2049 年 
之 前 把 这 个 域 编码 为 UTCTime 类 型 ， 在 2050 年 或 2050 年 之 后 把 这 个 域 编码 为 
GeneralizedTime 类 型 。 
。 用 户 公 钥 信息 ， 其 中 包括 废除 的 证 书 序 列 号 和 证 书 废除 时 间 。 废 除 的 证 书 序 列 号 
是 指 要 废除 的 由 同一 个 CA 签发 的 证 书 的 一 个 唯一 标识 号 ， 同 一 机 构 签发 的 证 书 
不 会 有 相同 的 序列 号 。 

。 签名 算法 : 对 CRL 内 容 进 行 签名 的 签名 算法 。 

。 签名 值 : 证 书签 发 机 构 对 CRL 内 容 的 签名 值 。 

另外 ，CRL 中 还 包含 扩展 域 和 条 目 扩展 域 。CRL 扩展 域 用 于 提供 与 CRL 有 关 的 额 
外 信息 部 分 ， 人 允许 团体 和 组 织 定 义 私有 的 CRL 扩展 域 来 传送 他 们 独 有 的 信息 ;CRL 条 
目 扩展 域 则 提供 与 CRL 条 目 有 关 的 额外 信息 部 分 ， 允 许 团 体 和 组 织 定义 私有 的 CRL 条 
目 扩展 域 来 传送 他 们 独 有 的 信息 。 

数字 证 书 作为 一 种 电子 数据 格式 ， 可 以 直接 从 网 上 下 载 ， 也 可 以 通过 其 他 方式 。 

可 使 用 IC 卡 存放 用 户 证 书 。 即 把 用 户 的 数字 证 书写 到 IC 卡 中 ， 供 用 户 随 身 携带 。 
这 样 用 户 在 所 有 能 够 读 IC 卡 证 书 的 电子 商务 终端 上 都 可 以 享受 安全 电子 商务 服务 。 

用 户 证 书 也 可 直接 存放 在 磁盘 或 自己 的 终端 上 。 用 户 将 从 CA 申请 来 的 证 书 下 载 或 
复制 到 磁盘 或 自己 的 PC 或 智能 终端 上 ， 当 用 户 使 用 自己 的 终端 享受 电子 商务 服务 时 ， 
直接 从 终端 读 入 即 可 。 

另外 ，CRL 一 般 通过 网 上 下 载 的 方式 存储 在 用 户 端 。 


4.9.3.2 ”CA 框架 模型 


CA 用 于 创建 和 发 布 证 书 ， 它 通常 为 一 个 称 为 安全 域 (security domain) 的 有 限 群 体 
发 放 证 书 。 创 建 证 书 时 ，CA 系统 首先 获取 用 户 的 请 求 信息 ， 其 中 包括 用 户 公 钥 〈 公 钥 
一 般 由 用 户 端 产生 , 如 电子 邮件 程序 或 浏览 器 等 ), CA 将 根据 用 户 的 请 求 信息 产生 证 书 ， 
并 用 自己 的 私 钥 对 证 书 进行 签名 。 其 他 用 户 、 应 用 程序 或 实体 将 使 用 CA 的 公 钥 对 证 书 
进行 验证 。 如 果 一 个 CA 系统 是 可 信 的 ， 则 验证 证 书 的 用 户 可 以 确信 ， 他 所 验证 的 证 书 
中 的 公 钥 属于 证 书 所 代表 的 那个 实体 。 

CA 还 负责 维护 和 发 布 CRL。 当 一 个 证 书 ， 特 别 是 其 中 的 公 钥 因为 其 他 原因 无 效 时 
〈 不 是 因为 到 期 )，CRL 提供 了 一 种 通知 用 户 和 其 他 应 用 的 中 心 管理 方式 。CA 系统 生成 
CRL 以 后 ， 要 么 是 放 到 LDAP 服务 器 中 供用 户 查 询 或 下 载 ， 要 么 是 放置 在 Web 服务 器 
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的 合适 位 置 ， 以 页 面 超 链 接 的 方式 供用 户 直接 查询 或 下 载 。 
一 个 典型 的 CA 系统 包括 安全 服务 器 、 注 册 机 构 、CA 服务 器 、LDAP 目录 服务 器 和 
数据 库 服 务 器 等 。 如 图 4-110 所 示 。 


用 户 申请 
| ! 安 安 
全 全 
业务 受理 | 注册 机 构 | 最 最 | CA 服务 器 
1 EA 器 
1 
上 


I [1 


数据 库 服 务 器 | LDAP 服 务 器 | | 数据 库 服 务 器 | LDAP 服 务 器 


ee 


证 书 用 户 


图 4-110 典型 CA 框架 模型 


(1) 安全 服务 器 。 安 全 服务 器 面向 普通 用 户 ， 用 于 提供 证 书 申请 、 浏 览 、 证 书 撤销 
列表 以 及 证 书 下 载 等 安全 服务 。 安 全 服务 器 与 用 户 的 通信 采取 安全 信道 方式 (如 SSL 的 
方式 , 不 需要 对 用 户 进行 身份 认证 )。 用 户 首先 得 到 安全 服务 器 的 证 书 (该 证 书 由 CA 颁 
发 ), 然后 用 户 与 服务 器 之 间 的 所 有 通信 , 包括 用 户 填写 的 申请 信息 以 及 浏览 器 生成 的 公 
钥 均 以 安全 服务 器 的 密 钥 进行 加 密 传输 ， 只 有 安全 服务 器 利用 自己 的 私 钥 解密 才能 得 到 
明文 ， 这 样 可 以 防止 其 他 人 通过 窃听 得 到 明文 ， 从 而 保证 了 证 书 申请 和 传输 过 程 中 的 信 
息 安全 性 。 

(2) CA 服务 器 。CA 服务 器 使 整个 证 书 机 构 的 核心 ， 负 责 证 书 的 签发 。CA 首先 产 
生 自 身 的 私 铀 和 公 钥 〈 密 钥 长 度 至 少 为 1024 位 )， 然 后 生成 数字 证 书 ， 并 且 将 数字 证 书 
传输 给 安全 服务 器 。CA 还 负责 为 操作 员 、 安 全 服务 器 以 及 注册 机 构 服务 器 生成 数字 证 
书 。 安 全 服务 器 的 数字 证 书 和 私 钥 也 需要 传输 给 安全 服务 器 。CA 服务 器 是 整个 结构 中 
最 为 重要 的 部 分 存 有 CA 的 私 钥 以 及 发 行 证 书 的 脚本 文件 ， 出 于 安全 的 考虑 ， 应 将 CA 
服务 器 与 其 他 服务 器 隔离 ， 任 何 通信 采用 人 工 干预 的 方式 ， 确 保 认 证 中 心 的 安全 。 

(3) 注册 机 构 。 登 记 中 心服 务 器 面向 登记 中 心 操作 员 ， 在 CA 体系 结构 中 起 承 上 启 
下 的 作用 ， 一 方面 向 CA 转发 安全 服务 器 传输 过 来 的 证 书 申请 请 求 ， 另 一 方面 向 LDAP 
服务 器 和 安全 服务 器 转发 CA 颁发 的 数字 证 书 和 证 书 撤消 列表 。 

(4) LDAP 服务 器 。LDAP 服务 器 提供 目录 浏览 服务 ， 负 责 将 注册 机 构 服务 器 传输 
过 来 的 用 户 信息 以 及 数字 证 书 加 入 到 服务 器 上 。 这 样 ， 其 他 用 户 通过 访问 LDAP 服务 器 
就 能 够 得 到 其 他 用 户 的 数字 证 书 。 
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(5) 数据 库 服务 器 。 数 据 库 服务 器 是 认证 机 构 中 的 核心 部 分 ， 用 于 认证 机 构 中 数据 
〈 如 密 钥 和 用 户 信息 等 )、 日 志 及 统计 信息 的 存储 和 管理 。 实 际 的 数据 库 系 统 应 采用 多 种 
措施 ， 如 磁盘 阵列 、 双 机 备份 和 多 处 理 器 等 方式 ， 以 维护 数据 库 系 统 的 安全 性 、 稳 定性 、 
可 伸缩 性 和 高 性 能 。 


4.9.3.3 ”证书 的 申请 和 撤消 


证 书 的 申请 有 两 种 方式 ; 在线 申 请 和 离线 申请 。 在 线 申 请 就 是 通过 浏览 器 或 其 他 应 
用 系统 通过 在 线 的 方式 来 申请 证 书 ， 这 种 方式 一 般 用 于 申请 普通 用 户 证 书 或 测试 证 书 。 
离线 方式 一 般 通过 人 工 的 方式 直接 到 证 书 机 构 证 书 受理 点 去 办 理 证 书 申请 手续 ， 通 过 审 
核 后 获取 证 书 ， 这 种 方式 一 般 用 于 比较 重要 的 场合 ， 如 服务 器 证 书 和 商家 证 书 等 。 下 面 
讨论 的 主要 是 在 线 申 请 方式 。 

当 证 书 申请 时 , 用 户 使 用 浏览 器 通过 Intemet 访问 安全 服务 器 , 下 载 CA 的 数字 证 书 
〈 又 叫做 根 证 书 )， 然 后 注册 机 构 服 务 器 对 用 户 进行 身份 审核 ， 认 可 后 便 批 准 用 户 的 证 书 
申请 ， 然 后 操作 员 对 证 书 申请 表 进 行 数 字 签 名 ， 并 将 申请 及 其 签名 一 起 提交 给 CA 服 
务 器 。 

CA 操作 员 获得 注册 机 构 服务 器 操作 员 签 发 的 证 书 申 请 ， 发 行 证 书 或 者 拒绝 发 行 证 
书 ， 然 后 将 证 书 通过 硬 复制 的 方式 传输 给 注册 机 构 服务 器 。 注 册 机 构 服务 器 得 到 用 户 的 
证 书 以 后 ， 将 用 户 的 一 些 公开 信息 和 证 书 放 到 LDAP 服务 器 上 提供 目录 浏览 服务 ， 并 且 
通过 电子 邮件 的 方式 通知 用 户 从 安全 服务 器 上 下 载 证 书 。 用 户 根据 邮件 的 提示 到 指定 的 
网 址 下 载 自己 的 数字 证 书 ， 而 其 他 用 户 可 以 通过 LDAP 服务 器 获得 他 的 公 钥 数字 证 书 。 

证 书 申 请 的 步骤 如 下 。 

(1) 用 户 申 请 。 用 户 首先 下 载 CA 的 证 书 ， 又 叫 根 证 书 ， 然 后 在 证 书 的 申请 过 程 中 
使 用 SSL 安全 方式 与 服务 器 建立 连接 ， 用 户 填写 个 人 信息 ， 浏 览 器 生成 私 钥 和 公 钥 对 ， 
将 私 钥 保 存 客户 端 特定 文件 中 ， 并 且 要 求 用 口令 保护 私 钥 ， 同 时 将 公 钥 和 个 人 信息 提交 
给 安全 服务 器 。 安 全 服务 器 将 用 户 的 申请 信息 传送 给 注册 机 构 服 务 器 。 

(2) 注册 机 构 审 核 。 用 户 与 注册 机 构 人 员 联 系 ， 证 明 自 己 的 真实 身份 ， 或 者 请 求 代 
理 人 与 注册 机 构 联系 。 注册 机 构 操作 员 利 用 自己 的 浏览 器 与 注册 机 构 服 务 器 建立 SSL 安 
全 通信 , 该 服务 器 需要 对 操作 员 进 行 严格 的 身份 认证 , 包括 操作 员 的 数字 证 书 、IP 地 址 ， 
为 了 进一步 保证 安全 性 ， 可 以 设置 固定 的 访问 时 间 。 操 作 员 首先 查看 目前 系统 中 的 申请 
人 员 ， 从 列表 中 找 出 相应 的 用 户 ， 点 击 用 户 名 ， 核 对 用 户 信息 ， 并 且 可 以 进行 适当 的 修 
改 ， 如 果 操 作 员 同意 用 户 申请 证 书 请 求 ， 必 须 对 证 书 申请 信息 进行 数字 签名 。 操 作 员 也 
有 权利 拒绝 用 户 的 申请 。 操 作 员 与 服务 器 之 间 的 所 有 通信 都 采用 加 密 和 签名 ， 具 有 安全 
性 、 抗 否认 性 ， 保 证 了 系统 的 安全 性 和 有 效 性 。 

(3) CA 发 行 证 书 。 注 册 机 构 通过 硬 复制 的 方式 向 CA 传输 用 户 的 证 书 申请 与 操作 
员 的 数字 签名 ，CA 操作 员 查 看 用 户 的 详细 信息 ， 并 且 验 证 操作 员 的 数字 签名 ， 如 果 签 
名 验证 通过 ， 则 同意 用 户 的 证 书 请 求 ， 颁 发 证 书 。 然 后 CA 将 证 书 输出 。 如 果 CA 操作 
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员 发 现 签名 不 正确 ， 则 拒绝 证 书 申请 ，CA 颁发 的 数字 证 书 中 包含 关于 用 户 及 CA 自身 
的 各 种 信息 ， 如 能 唯一 标识 用 户 的 姓名 及 其 他 标识 信息 ， 如 个 人 的 E-mail 地 址 ; 证 书 持 
有 者 的 公 钥 。 公 钥 用 于 为 证 书 持 有 者 加 密 敏感 信息 、 签 发 个 人 证 书 的 认证 机 构 的 名 称 、 
个 人 证 书 的 序列 号 和 个 人 证 书 的 有 效 期 〈 证 书 有 效 起 止 日 期 ) 等 。 

(4) 注册 机 构 证 书 转发 。 注 册 机 构 操作 员 从 CA 处 得 到 新 的 证 书 ， 首 先 将 证 书 输出 
到 LDAP 目录 服务 器 以 提供 目录 浏览 服务 ， 然 后 操作 员 向 用 户 发 送 一 封 电子 邮件 ， 通 知 
用 户 证 书 已 经 发 行 成 功 ， 并 且 把 用 户 的 证 书 序列 号 告诉 用 户 ， 让 用 户 到 指定 的 网 址 去 下 
载 自己 的 数字 证 书 。 并 且 告 诉 用 户 如 何 使 用 安全 服务 器 上 的 LDAP 配置 ， 让 用 户 修改 浏 
览 器 的 客户 端 配置 文件 以 便 访问 LDAP 服务 器 ， 获 得 他 人 的 数字 证 书 。 

(5) 用 户 证 书 获取 。 用 户 使 用 证 书 申请 时 的 浏览 器 到 指定 的 网 址 ， 输 入 自己 的 证 书 
序列 号 ， 服 务 器 要 求 用 户 必须 使 用 申请 证 书 时 的 浏览 器 ， 因 为 浏览 器 需要 用 该 证 书 相应 
的 私 钥 去 验证 数字 证 书 。 只 有 保存 了 相应 私 钥 的 浏览 器 才能 成 功 下 载 用 户 的 数字 证 书 。 

这 时 用 户 打开 浏览 器 的 安全 属性 , 就 可 以 发 现 自己 已 经 拥有 了 CA 颁发 的 数字 证 书 ， 
可 以 利用 该 数字 证 书 与 其 他 人 以 及 Web 服务 器 (拥有 相同 CA 颁发 的 证 书 ) 使 用 加 密 、 
数字 签名 进行 安全 通信 。 

认证 中 心 还 涉及 到 CRL 的 管理 。 用 户 向 特定 的 操作 员 〔 仅 负责 CRL 的 管理 ) 发 一 
份 加 密 签名 的 邮件 ， 申 明 自 己 希望 撤消 证 书 。 操 作 员 打开 邮件 ,填写 CRL 注册 表 , 并 且 
进行 数字 签名 ， 提 交 给 CA，CA 操作 员 验 证 注册 机 构 操作 员 的 数字 签名 ， 批 准 用 户 撤消 
证 书 ， 并 且 更 新 CRL， 然 后 CA 将 不 同 格式 的 CRL 输出 给 注册 机 构 ， 公 布 到 安全 服务 
器 上 ， 这 样 其 他 人 可 以 通过 访问 服务 器 得 到 CRL 。 

证 书 撤销 流程 步骤 如 下 。 

(1) 用 户 向 注册 机 构 操 作 员 CRLManager 发 送 一 封 签名 加 密 的 邮件 ， 声 明 自 己 自愿 
撤销 证 书 。 

(2) 注册 机 构 同 意 证 书 撤销 ， 操 作 员 输入 用 户 的 序列 号 ， 对 请 求 进行 数字 签名 。 

(3) CA 查询 证 书 撤销 请 求 列表 ， 选 出 其 中 的 一 个 ， 验 证 操作 员 的 数字 签名 ， 如 果 
正确 ， 则 同意 用 户 的 证 书 撤销 申请 ， 同 时 更 新 CRL 列表 ， 然 后 将 CRL 以 多 种 格式 输出 。 

(4) 注册 机 构 转 发 证 书 撤销 列表 。 操 作 员 导入 CRL， 以 多 种 不 同 的 格式 将 CRL 公 
布 于 众 。 

(5) 用 户 浏览 安全 服务 器 ， 下 载 或 浏览 CRL。 

在 一 个 PKI, 特别 是 CA 中 ,信息 的 存储 是 一 个 非常 核心 的 问题 ， 它 包括 两 个 方面 : 
一 是 CA 服务 器 利用 数据 库 来 备份 当前 密 钥 和 归档 过 期 密 钥 ， 该 数据 库 需 高 度 安全 和 机 
密 ， 其 安全 等 级 同 CA 本 身 相同 ; 另外 一 个 就 是 目录 服务 器 ， 用 于 分 发 证 书 和 CRL, 一 
般 采 用 LDAP 目录 服务 器 。 


4.9.3.4 ” 密 钥 管理 
密 钥 管 理 也 是 PKI (主要 指 CA) 中 的 一 个 核心 问题 ， 主 要 是 指 密 钥 对 的 安全 管理 ， 
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包括 密 钥 产生 、 密 钥 备份 、 密 钥 恢复 和 密 钥 更 新 等 。 

(1) 密 钥 产生 。 密 钥 对 的 产生 是 证 书 申 请 过 程 中 重要 的 一 步 ， 其 中 产生 的 私 钥 由 用 
户 保留 ， 公 钥 和 其 他 信息 则 交 于 CA 中 心 进行 签名 ， 从 而 产生 证 书 。 根 据 证 书 类 型 和 应 
用 的 不 同 ， 密 钥 对 的 产生 也 有 不 同 的 形式 和 方法 。 对 普通 证 书 和 测试 证 书 ， 一 般 由 浏览 
器 或 固定 的 终端 应 用 来 产生 ， 这 样 产生 的 密 钥 强度 较 小 ， 不 适合 应 用 于 比较 重要 的 安全 
网 络 交易 。 而 对 于 比较 重要 的 证 书 ， 如 商家 证 书 和 服务 器 证 书 等 ， 密 钥 对 一 般 由 专用 应 
用 程序 或 CA 中 心 直 接 产 生 ， 这 样 产生 的 密 钥 强度 大 ， 适 合 于 重要 的 应 用 场合 。 

另外 ， 根 据 密 钥 的 应 用 不 同 ， 也 可 能 会 有 不 同 的 产生 方式 。 例 如 ， 签 名 密 钥 可 能 在 
客户 端 或 RA 中 心 产生 ， 而 加 密 密 钥 则 需要 在 CA 中 心 直 接 产生 。 

(2) 密 钥 备份 和 恢复 。 在 一 个 PKI 系统 中 ， 维 护 密 钥 对 的 备份 至 关 重 要 ， 如 果 没 有 
这 种 措施 ， 当 密 钥 丢 失 后 ， 将 意味 着 加 密 数据 的 完全 丢失 ， 对 于 一 些 重要 数据 ， 这 将 是 
灾难 性 的 。 所 以 ， 密 钥 的 备份 和 恢复 也 是 PKI 密 钥 管理 中 的 重要 一 环 。 

使 用 PKI 的 企业 和 组 织 必须 能 够 得 到 确认 : 即使 密 钥 丢 失 ， 受 密 钥 加 密 保护 的 重要 
信息 也 必须 能 够 恢复 ， 并 且 不 能 让 一 个 独立 的 个 人 完全 控制 最 重要 的 主 密 钥 ， 否 则 将 引 
起 严重 后 果 。 

企业 级 的 PKI 产品 至 少 应 该 支持 用 于 加 密 的 安全 密 钥 的 存储 、 备 份 和 恢复 。 密 钥 一 
般 用 口令 进行 保护 ， 而 口令 丢失 则 是 管理 员 最 常见 的 安全 疏漏 之 一 。 所 以 ，PKI 产品 应 
该 能 够 备份 密 钥 ， 即 使 口令 丢失 ， 它 也 能 够 让 用 户 在 一 定 条 件 下 恢复 该 密 钥 ， 并 设置 新 
的 口令 。 

例如 ， 在 某 些 情况 下 用 户 可 能 有 多 对 密 钥 ， 至 少 应 该 有 两 个 密 钥 : 一 个 用 于 加 密 ， 
一 个 用 于 签名 。 签 名 密 钥 不 需要 备份 ， 因 为 用 于 验证 签名 的 公 钥 〈 或 公 钥 证 书 ) 广泛 发 
布 , 即使 签名 私 钥 丢失 , 任何 用 于 相应 公 钥 的 人 都 可 以 对 已 签名 的 文档 进行 验证 。 但 PKI 
系统 必须 备份 用 于 加 密 的 密 钥 对 ， 并 允许 用 户 进行 恢复 ， 否 则 ， 用 于 解密 的 私 钥 丢 失 将 
意味 着 加 密 数据 的 完全 不 可 恢复 。 

另外 ， 使 用 PKI 的 企业 也 应 该 考虑 所 使 用 密 钥 的 生命 周期 ， 它 包括 密 钥 和 证 书 的 有 
效 时 间 ， 以 及 已 撤消 密 钥 和 证 书 的 维护 时 间 等 。 

(3) 密 钥 更 新 。 对 每 一 个 由 CA 颁发 的 证 书 都 会 有 有 效 期 ， 密 钥 对 生命 周期 的 长 短 
由 签发 证 书 的 CA 中 心 来 确定 ， 各 CA 系统 的 证 书 有 效 期 限 有 所 不 同 ， 一 般 大 约 为 2 一 
3 年 。 

当 用 户 的 私 钥 被 泄露 或 证 书 的 有 效 期 快 到 时 ， 用 户 应 该 更 新 私 钥 。 这 时 用 户 可 以 废 
除 证 书 ， 产 生 新 的 密 钥 对 ， 申 请 新 的 证 书 。 


4.9.3.5 证书 的 使 用 与 认证 过 程 
在 实际 应 用 中 ， 为 了 验证 信息 的 数字 签名 ， 用 户 首先 必须 获取 信息 发 送 者 的 公 钥 证 
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书 ， 以 及 一 些 额外 需要 的 证 书 〈 如 CA 证 书 等 ， 用 于 验证 发 送 者 证 书 的 有 效 性 )。 

证 书 的 获取 可 以 有 多 种 方式 ， 如 发 送 者 发 送 签名 信息 时 附加 发 送 自 己 的 证 书 ， 或 以 
另外 的 单独 信息 发 送 证 书 ， 或 者 可 以 通过 访问 证 书 发 布 的 目录 服务 器 来 获得 ， 或 者 直接 
从 证 书 相关 的 实体 处 获得 。 在 一 个 PKI 体系 中 ， 可 以 采取 某 种 或 某 几 种 上 述 方式 获得 
证 书 。 

在 电子 商务 系统 中 ， 证 书 的 持 有 者 可 以 是 个 人 用 户 、 企 事业 单位 、 商 家 和 银行 等 。 
无 论 是 电子 商务 中 的 哪 一 方 ， 在 使 用 证 书 验 证 数据 时 ， 都 遵循 同样 的 验证 流程 。 一 个 完 
整 的 验证 过 程 有 以 下 几 步 。 

(1) 将 客户 端 发 来 的 数据 解密 〈 如 解 开 数 字 信封 )。 

(2) 将 解密 后 的 数据 分 解 成 原始 数据 、 签 名 数据 和 客户 证 书 三 部 分 。 

(3) 用 CA 根 证 书 验 证 客户 证 书 的 签名 完整 性 。 

(4) 检查 客户 证 书 是 否 有 效 〈 当 前 时 间 在 证 书 结构 中 所 定义 的 有 效 期 内 )。 

(5) 检查 客户 证 书 是 否 作废 (OCSP 方式 或 CRL 方式 )。 

(6) 验证 客户 证 书 结构 中 的 证 书 用 途 。 

(7) 客户 证 书 验 证 原始 数据 的 签名 完整 性 。 

如 果 以 上 各 项 均 验 证 通过 ， 则 接收 该 数据 。 

在 X.509 中 ， 有 三 种 认证 过 程 以 适应 不 同 的 应 用 环境 : 单 向 认证 、 双 向 认证 和 三 向 
认证 。 可 用 图 4-111 简单 表示 。 


C) Afta, tr,, B, sgnData, Epkp[Kap]} 
Afta, ra B, sgnData, Epke[Kap]} 


Bite, ra, A, ra, sgnData, Epka[Kea]} 
o> 
(C ) Afta, ™, B, sgnData, Epks [KAp]} ( ) 
一 
Bfte，re，A， sgnData，EpkA [Kna]} 
Afre 


4-111 X.509 认证 过 程 


其 中 ,ta 表示 时 间 惟 A，ra 表示 一 次 性 随机 数 ，PKA 表示 A 的 公开 钥 ，Kas 表示 加 
密 双 方 意欲 建立 的 会 话 密 钥 ，sgnData 表示 其 他 信息 。 三 种 认证 过 程 都 使 用 公 钥 签名 技 
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术 ， 并 假定 通信 双方 都 可 从 目录 服务 器 获取 对 方 的 公 钥 证 书 ， 或 对 方 最 初 发 来 的 消息 中 
包括 公 钥 证 书 ， 即 假定 通信 双方 都 知道 对 方 的 公 钥 。 


4.9.4 ”PKI 和 数字 证 书 的 应 用 


4.9.4.1 PKI 的 应 用 实例 


PKI 的 应 用 非常 广泛 ， 包 括 在 Web 服务 器 和 浏览 器 之 间 的 通信 、 电 子 邮 件 、 电 子 数 
据 交 换 (EDI)、 在 Intemet 上 的 信用 卡 交 易 和 虚拟 私有 网 等 。PKI 技术 的 广泛 应 用 能 满 
足 人 们 对 网 络 交易 安全 保障 的 需求 。 当 然 ， 作 为 一 种 基础 设施 ，PKI 的 应 用 范围 在 不 断 
发 展 之 中 ， 下 面 给 出 几 个 应 用 实例 。 

(1) 虚拟 专用 网 络 。VPN 是 一 种 架构 在 公用 通信 基础 设施 上 的 专用 数据 通信 网 络 ， 
利用 网 络 层 安 全 协议 (尤其 是 IPSec) 和 建立 在 PKI 上 的 加 密 与 签名 技术 来 获得 机 密 性 
保护 基于 PKI 技术 的 IPSec 协议 现在 已 经 成 为 架构 VPN 的 基础 , 它 可 以 为 路 由 器 之 间 、 
防火 墙 之 间或 者 路 由 器 和 防火 墙 之 间 提 供 经 过 加 密 和 认证 的 通信 。 虽 然 它 的 实现 会 复杂 
一 些 ， 但 其 安全 性 比 其 他 协议 都 完善 得 多 。 

(2) 安全 电子 邮件 。 作 为 Intemet 上 最 有 效 的 应 用 ， 电 子 邮件 凭借 其 易 用 、 低 成 本 
和 高 效 已 经 成 为 现代 商业 中 的 一 种 标准 信息 交换 工具 。 随 着 Intemet 的 持续 增长 ， 商 业 
机 构 或 政府 机 构 都 开始 用 电子 邮件 交换 一 些 秘密 的 或 是 有 商业 价值 的 信息 ， 这 就 引出 了 
一 些 安全 方面 的 问题 ， 包 括 消息 和 附件 可 以 在 不 为 通信 双方 所 知 的 情况 下 被 读 取 、 算 改 
或 截 掉 ， 发 信人 的 身份 无 法 确认 。 电 子 邮件 的 安全 需求 也 是 机 密 、 完 整 、 认 证 和 不 可 和 否 
认 ， 而 这 些 都 可 以 利用 PKI 技术 来 获得 。 目 前 发 展 很 快 的 安全 电子 邮件 协议 是 SIMIME 
(The Secure Multipurpose Internet Mail Extension)， 这 是 一 个 允许 发 送 加 密 和 有 签名 邮件 
的 协议 。 该 协议 的 实现 需要 依赖 于 PKI 技术 。 

(3) Web 安全 。 浏 览 Web 页 面 是 人 们 最 常用 的 访问 Intemet 的 方式 。 如 果 要 通过 
Web 进行 一 些 商业 交易 ， 该 如 何 保证 交易 的 安全 呢 ? 为 了 透明 地 解决 Web 的 安全 问题 ， 
在 两 个 实体 进行 通信 之 前 ， 先 要 建立 SSL 连接 ， 以 此 实现 对 应 用 层 透明 的 安全 通信 。 利 
用 PKI 技术 ，SSL 协议 允许 在 浏览 器 和 服务 器 之 间 进 行 加 密 通信 。 此 外 ， 服 务 器 端 和 浏 
览 器 端 通信 时 双方 可 以 通过 数字 证 书 确认 对 方 的 身份 。 结 合 SSL 协议 和 数字 证 书 ，PKI 
技术 可 以 保证 Web 交易 多 方面 的 安全 需求 , 使 Web 上 的 交易 和 面对面 的 交易 一 样 安 全 。 


4.9.4.2 ”PKI 的 应 用 编程 接口 


协议 标准 是 系统 具有 可 交互 性 的 前 提 和 基础 ， 它 规范 了 PKI 系统 各 部 分 之 间 相 互通 
信 的 格式 和 步骤 。 而 应 用 编程 界面 (Application Programming Interface，API) 则 定义 了 
如 何 使 用 这 些 协 议 ， 并 为 上 层 应 用 提供 PKI 服务 。 当 应 用 需要 使 用 PKI 服务 ， 如 获取 某 
一 用 户 的 公 钥 、 请 求证 书 废除 信息 或 请 求证 书 时 都 将 会 用 到 API。 目 前 API 没有 统一 的 
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国际 标准 ， 大 部 分 都 是 操作 系统 或 某 一 公司 产品 的 扩展 ， 并 在 其 产品 应 用 的 框架 内 提供 
PKI 服务 。 

目前 ， 有 很 多 可 以 让 开发 者 选择 的 API 类 型 。IETF 建议 标准 为 通用 安全 服务 API 
(Generic Security Service Application Program Interface，GSS-API)， 它 提供 了 一 种 接口 与 
网 络 机 制 和 网 络 协议 相互 独立 的 实现 。 

欧洲 建立 的 SESAME (Secure European System for Application in a Multi-Vendor 
Environment) 定义 了 一 些 安全 界面 ， 并 作为 该 组 织 发 展 的 安全 技术 的 一 部 分 ， 该 接口 得 
到 了 欧洲 许多 著名 厂商 的 支持 , 如 Bull SA、ICL 和 Seimens 等 , 但 没有 在 美国 得 到 支持 ， 
特别 是 一 些 大 的 厂商 ， 如 Microsoft 和 Netscape 等 。 

Entrust 也 为 其 产品 提供 了 一 套 API, 如 Entrust 证 书 管理 服务 API(Entrust's Certificate 
Management Services API，CMS API)， 该 API 允许 应 用 使 用 Entrust 的 证 书 管理 和 分 发 
服务 。 在 1996 年 指定 , 并 于 1997 年 更 新 的 PKIX Intemet 草案 Architecture for Public Key 
Infrastructure 定义 了 PKI 结构 ， 并 建议 了 许多 标准 ， 其 中 就 包括 API。 

目前 ， 在 API 市 场 处 于 领先 地 位 的 是 Microsoft 的 CryptoAPI 和 Intel 的 公用 数据 安 
全 框架 (Common Data Security Architecture，CDSA)7， 他 们 凭借 自己 的 产品 优势 相互 竞 
争 。Microsoft 利用 其 广泛 的 操作 系统 市 场 ， 而 Intel 则 凭借 其 PC 芯片 的 优势 ， 并 与 其 他 
厂商 ， 如 IBM、Entrust 和 Netscape 等 进行 联合 ， 共 同 支持 CDSA。 现 在 也 有 很 多 厂商 的 
PKI 产品 同时 支持 这 两 种 API， 如 Entrust 等 。PKIX 在 很 多 情况 下 支持 CDSA， 并 建议 
其 为 Architecture for Public Key Infrastructure 草案 的 标准 。 

除 此 之 外 ，Entrust、IBM、Itel、Netscape 和 TIS 等 联合 向 开放 组 织 (Open Group) 
提议 了 一 个 基于 CDSA 的 加 密 和 证 书 管理 接口 ， 并 使 用 了 Entrust 的 CMS API、IBM 的 
密 钥 恢复 API。 但 开放 组 织 同时 也 在 考虑 使 用 PKCS #11 作为 安全 API 接口 。 

目前 比较 常用 的 安全 API 接口 有 CryptoAPI (Microsoft Cryptographic Application 
Programming Interface， 微 软 加 密 应 用 程序 编程 接口 ) 和 CDSA (Common Data Security 
Architecture)，CryptoAPI 为 Win32 应 用 程序 提供 了 认证 、 编 码 、 加 密 和 签名 等 安全 处 
理 ， 它 可 使 用 户 在 对 复杂 的 加 密 机 制 和 加 密 算 法 不 了 解 的 情况 下 ， 对 应 用 程序 增加 安全 
功能 。 

CDSA 为 安全 应 用 服务 提供 了 一 个 整体 框架 和 解决 方案 ， 提 供 了 诸如 证 书 管 理 等 许 
多 PKI 功能 。 同 CryptoAPI 类 似 ，CDSA 也 是 以 一 个 分 层 的 服务 提供 者 框架 为 基础 ， 其 
应 用 模式 可 分 为 4 层 。 最 上 层 是 应 用 程序 ， 应 用 程序 的 下 层 是 中 间 件 , 例如 SSL、IPSec 
接口 和 语言 接口 转换 器 等 ， 接 下 来 是 CSSM 层 ，CSSM 层 是 CDSA 的 核心 层 ，CSSM 的 
下 层 是 具体 的 服务 提供 者 ， 如 加 密 服 务 、 证 书 服务 、 政 策 服 务 和 数据 存储 服务 等 。 


4.9.5 ”PKI 标准 
PKI 发 展 的 一 个 重要 方面 就 是 标准 化 问题 ， 它 也 是 建立 互 操作 性 的 基础 。PKI 的 标 


712 网 络 规划 设计 师 教程 


准 可 分 为 两 个 部 分 : 一 类 用 于 定义 PKI; 而 另 一 类 用 于 规范 PKI 的 应 用 。 
4.9.5.1 PKI 的 定义 标准 


在 PKI 技术 框架 中 ， 许 多 方面 都 经 过 严格 的 定义 ， 如 用 户 的 注册 流程 、 数 字 证 书 的 
格式 、CRL 的 格式 、 证 书 的 申请 格式 以 及 数字 签名 格式 等 。PKI 的 定义 标准 化 有 两 大 阵 
营 : 一 是 RSA 公司 的 公 钥 加 密 标准 (Public Key Cryptography Standards，PKCS)， 它 定 
义 了 许多 基本 PKI 部 件 ， 包 括 数字 签名 和 证 书 请 求 格式 等 ， 二 是 由 Internet 工程 任务 组 
(Intemet Engineering Task Force，IETF) 和 PKI 工作 组 (Public Key Infrastructure Working 
Group，PKIX) 所 定义 的 一 组 具有 互 操作 性 的 公 钥 基础 设施 协议 。 在 今后 很 长 的 一 段 时 
间 内 ，PKCS 和 PKIX 将 会 并 存 ， 大 部 分 的 PKI 产品 为 保持 兼容 性 ， 也 将 会 对 这 两 种 标 
准 进行 支持 。 

1) X.209 〈1988) ASN.1 基本 编码 规则 的 规范 

ASN.1 是 描述 在 网 络 上 传输 信息 格式 的 标准 方法 。 它 有 两 部 分 : 第 一 部 分 (ISO 8824/ 
ITU X.208) 描 述 信 息 内 的 数据 数据 类 型 及 序列 格式 , 也 就 是 数据 的 语法 ; 第 二 部 分 (ISO 
8825/ITTU X.209) 描述 如 何 将 各 部 分 数据 组 成 消息 ， 也 就 是 数据 的 基本 编码 规则 。 

ASN.1 原来 是 作为 X.409 的 一 部 分 而 开发 的 ， 后 来 才 独 立地 成 为 一 个 标准 。 这 两 个 
协议 除了 在 PKI 体系 中 被 应 用 外 ， 还 被 广泛 应 用 于 通信 和 计算 机 的 其 他 领域 。 

2) X.500 (1993) 信息 技术 之 开放 系统 互联 : 概念 、 模 型 及 服务 简 述 

X.500 是 一 套 已 经 被 国际 标准 化 组 织 (ISO) 接受 的 目录 服务 系统 标准 ， 它 定义 了 一 
个 机 构 如 何在 全 局 范围 内 共享 其 名 字 和 与 之 相关 的 对 象 。X.500 是 层次 性 的 ， 其 中 的 管 
理性 域 机构、 分 支 、 部 门 和 工作 组 ) 可 以 提供 这 些 域内 的 用 户 和 资源 信息 。 在 PKI 体 
系 中 ，X.500 被 用 来 唯一 标识 一 个 实体 ， 该 实体 可 以 是 机 构 、 组 织 、 个 人 或 一 台 服 务 器 。 
X. 500 被 认为 是 实现 目录 服务 的 最 佳 途径 , 但 X.500 的 实现 需要 较 大 的 投资 ， 并 且 比 其 
他 方式 速度 慢 。 而 其 优势 是 具有 信息 模型 、 多 功能 和 开放 性 。 

3) X.509 (1993) 信息 技术 之 开放 系统 互联 : 鉴别 框架 

X.509 是 由 国际 电信 联盟 (ITU-T) 制定 的 数字 证 书 标准 。 在 X.500 确保 用 户 名 称 唯 
一 性 的 基础 上 ，X.509 为 X.500 用 户 名 称 提供 了 通信 实体 的 鉴别 机 制 ， 并 规定 了 实体 鉴 
别 过 程 中 广泛 适用 的 证 书 语法 和 数据 接口 。 国 际 电信 联盟 ITU X.509 协议 ， 是 PKI 技术 
体系 中 应 用 最 为 广泛 、 也 是 最 为 基础 的 一 个 国际 标准 。 它 的 主要 目的 在 于 定义 一 个 规范 
的 数字 证 书 的 格式 ， 以 便 为 基于 X.500 协议 的 目录 服务 提供 一 种 强 认证 手段 。 但 该 标准 
并 非 要 定义 一 个 完整 的 、 可 互 操作 的 PKI 认证 体系 。 

X.509 的 最 初版 本 公布 于 1988 年 。X.509 证 书 由 用 户 公共 密 钥 和 用 户 标识 符 组 成 。 
此 外 ， 还 包括 版 本 号 、 证 书 序列 号 、CA 标识 符 、 签 名 算法 标识 、 签 发 者 名 称 和 证 书 有 效 
期 等 信息 。 这 一 标准 的 最 新 版 本 是 X.509 V3， 它 定义 了 包含 扩展 信息 的 数字 证 书 。 该 版 
数字 证 书 提供 了 一 个 扩展 信息 字段 ， 用 来 提供 更 多 的 灵活 性 及 特殊 应 用 环境 下 所 需 的 信 
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息 传送 。 

4) PKCS 系列 标准 

由 RSA 实验 室 制订 的 PKCS 系列 标准 ， 是 一 套 针 对 PKI 体系 的 加 解密 、 签 名 、 密 
钥 交换 、 分 发 格式 及 行为 标准 ， 该 标准 目前 已 经 成 为 PKI 体系 中 不 可 缺少 的 一 部 分 。 
PKCS 是 由 美国 RSA 数据 安全 公司 及 其 合作 伙伴 制定 的 一 组 公 钥 密码 学 标准 ， 其 中 包括 
证 书 申 请 、 证 书 更 新 、 证 书 作废 表 发 布 、 扩 展 证 书 内 容 以 及 数字 签名 、 数 字 信封 的 格式 
等 方面 的 一 系列 相关 协议 。 到 1999 年 年 底 ，PKCS 已 经 公布 了 以 下 标准 。 

。 PKCS#1: 定义 RSA 公开 密 钥 算法 加 密 和 签名 机 制 ， 主 要 用 于 组 织 PKCS#7 中 所 

描述 的 数字 签名 和 数字 信封 。 

。 PKCS#3: 定义 Diffie-Hellman 密 钥 交 换 协 议 。 
PKCS#5: 描述 一 种 利用 从 口令 派生 出 来 的 安全 密 钥 加 密 字符 串 的 方法 ,使 用 MD2 
或 MD5 从 口令 中 派生 密 钥 , 并 采用 DES-CBC 模式 加 密 。 主 要 用 于 加 密 从 一 个 计 
算 机 传送 到 另 一 个 计算 机 的 私人 密 钥 ， 不 能 用 于 加 密 消息 。 
。 PKCS#6: 描述 了 公 钥 证 书 的 标准 语法 ， 主 要 描述 X.509 证 书 的 扩展 格式 。 
PKCS#7: 定义 一 种 通用 的 消息 语法 ， 包 括 数字 签名 和 加 密 等 用 于 增强 的 加 密 机 
制 。PKCS#7 与 PEM 兼容 ， 所 以 不 需 其 他 密码 操作 就 可 以 将 加 密 的 消息 转换 成 
PEM 消息 。 
PKCS#8: 描述 私有 密 钥 信息 格式 ， 该 信息 包括 公开 密 钥 算法 的 私有 密 钥 以 及 可 
选 的 属性 集 等 。 
PKCS#9: 定义 一 些 用 于 PKCS#6 证 书 扩展 、PKCS#7 数字 签名 和 PKCS#8 私 钥 加 
密 信息 的 属性 类 型 。 
。 PKCS#10: 描述 证 书 请 求 语法 。 
。 PKCS#11: 称 为 Cyptoki， 定 义 了 一 套 独立 于 技术 的 程序 设计 接口 ， 用 于 智能 卡 
和 PCMCIA 卡 之 类 的 加 密 设备 。 
PKCS#12: 描述 个 人 信息 交换 语法 标准 。 描 述 了 将 用 户 公 钥 、 私 钥 、 证 书 和 其 他 
相关 信息 打包 的 语法 。 

。 PKCS#13: 椭圆 曲线 密码 体制 标准 。 

。 PKCS#14: 伪 随 机 数 生成 标准 。 

。 PKCS#15: 密码 令 牌 信息 格式 标准 。 

另外 , PKCS#2 和 PKCS#4 已 经 合并 到 PKCS#1 之 中 。PKIX 是 由 IETF 组 织 中 的 PKI 
工作 小 组 制定 的 系列 国际 标准 ， 此 类 标准 主要 定义 基于 X.509 和 PKCS 的 PKI 模型 框 
架 。PKIX 中 定义 的 4 个 主要 模型 为 用 户 、 认 证 中 心 、 注 册 中 心 和 证 书 存 取 库 。 

5) OCSP 在 线 证 书 状 态 协议 

OCSP (Online Certificate Status Protocol) 是 IETF 颁布 的 用 于 检查 数字 证 书 在 某 一 
交易 时 刻 是 否 仍 然 有 效 的 标准 。 该 标准 提供 给 PKI 用 户 一 条 方便 快捷 的 数字 证 书 状态 查 
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询 通道 ， 使 PKI 体系 能 够 更 有 效 、 更 安全 地 在 各 个 领域 中 被 广泛 应 用 。 

6) LDAP 轻 量 级 目录 访问 协议 

LDAP 规范 (RFC1487) 简化 了 笨重 的 X.500 目录 访问 协议 ， 并 且 在 功能 性 、 数 据 
表示 、 编 码 和 传输 方面 都 进行 了 相应 的 修改 。1997 年 , LDAP 第 3 版 本 成 为 互联 网 标准 。 
目前 ，LDAP V3 已 经 在 PKI 体系 中 被 广泛 应 用 于 证 书信 息 发 布 、CRL 信息 发 布 、CA 政 
策 以 及 与 信息 发 布 相关 的 各 个 方面 。 

除了 以 上 协议 外 ， 还 有 一 些 构建 在 PKI 体系 上 的 应 用 协议 ， 这 些 协议 是 PKI 体系 在 
应 用 和 普及 化 方面 的 代表 作 ， 包 括 SET 协议 和 SSL 协议 。 


4.9.5.2 PKI 的 应 用 标准 


PKI 的 发 展 非常 快 ， 己 经 从 几 年 前 的 理论 阶段 过 渡 到 目前 的 产品 阶段 ， 并 且 出 现 了 
大 量 成 熟 技 术 、 产 品 和 解决 方案 ， 正 逐步 走向 成 熟 。PKI 的 发 展 受 应 用 驱动 的 影响 ， 例 
如 ， 早 期 的 Intemet 商务 和 Web 安全 要 求 主要 依赖 于 SSL， 并 要 求 应 用 首先 对 证 书 进行 
处 理 ， 所 以 ， 在 很 多 公司 的 消息 和 群 组 产品 中 都 提供 了 公 钥 和 证 书 系 统 ， 如 Exchange 
和 Notes 等 。 另 外 ， 基 于 标准 的 基础 设施 和 应 用 也 同样 促进 了 PKI 的 发 展 ， 它 能 够 保证 
基于 Internet 的 安全 消息 传送 的 可 交互 性 ， 如 S/MIME 等 。 

PKI 产品 的 生产 厂家 很 多 ， 比 较 有 代表 性 的 主要 有 VeriSign 和 Entrust。VeriSign 作 
为 RSA 的 控股 公司 ， 借 助 RSA 成 熟 的 安全 技术 ， 提 供 了 PKI 产品， 为 用 户 之 间 的 内 部 
信息 交互 提供 安全 保障 。 另 外 ，VeriSign 也 提供 对 外 的 CA 服务 ， 包 括 证 书 的 发 布 和 管 
理 等 功能 ， 并 且 同 一 些 大 的 生产 商 ， 如 Microsoft、Netscape 和 JavaSoft 等 ， 保 持 了 伙伴 
关系 ， 以 在 Intemet 上 提供 代码 签名 服务 。 

Entrust 作为 北方 电信 (Northem Telecom) 的 控股 公司 ， 从 事 PKI 的 研究 与 产品 开 
发 已 经 有 很 多 年 的 历史 了 ， 并 一 直 在 业界 保持 领先 地 位 ， 拥 有 许多 成 熟 的 PKI 及 配套 产 
品 ， 并 提供 了 有 效 的 密 钥 管理 功能 。 

另外 ， 一些 大 的 厂商 ， 如 Microsoft、Netscape 和 Novell 等 ， 都 开始 在 自己 的 网 络 基 
础 设施 产品 中 增加 PKI 功能 。Netscape 已 经 开始 把 证 书 服务 器 作为 SuiteSpot 的 一 部 分 ， 
虽然 其 证 书 服务 器 没有 Entrust 产品 的 功能 全 面 和 完善 , 但 提供 了 基本 的 证 书生 成 和 管理 
功能 。 即 使 没有 密 钥 管理 功能 ， 但 由 于 Netscape 把 证 书 服务 器 同 SuiteSpot 服务 器 和 
Communicator 客户 端 产品 的 集成 , 依靠 广泛 的 市 场 基础 , 也 取得 了 越 来 越 多 的 市 场 份额 。 
由 SUN 和 Netscape 联盟 组 成 的 iplanet 公司 (SunlNetscape Alliance) 也 在 PKI 方 面 做 了 
很 大 的 努力 ， 和 凭借 其 在 网 络 和 电子 商务 方面 的 优势 ， 发 展 了 很 多 性 能 优越 的 PKI 产品 ， 
如 LDAP 目录 服务 器 和 证 书 管理 系统 等 。 

随 着 PKI 的 发 展 和 应 用 的 不 断 普 及 ，PKI 的 产品 也 越 来 越 多 ， 为 了 保持 各 产品 之 间 
的 兼容 性 ， 标 准 化 成 了 PKI 不 可 避免 的 发 展 趋势 。 

目前 世界 上 已 经 出 现 了 许多 依赖 于 PKI 的 安全 标准 ， 即 PKI 的 应 用 标准 ， 如 安全 的 
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套 接 层 协议 、 传 输 层 安全 协议 、 安 全 的 多 用 途 因特网 邮件 扩展 协议 和 卫 安全 协议 等 。 

S/MIME 是 一 个 用 于 发 送 安全 报 文 的 IETF 标准 。 它 采用 了 PKI 数字 签名 技术 并 支 
持 消息 和 附件 的 加 密 ， 无 须 收发 双方 共享 相同 密 钥 。S/MIME 委员 会 采用 PKI 技术 标准 
来 实现 SIMIME, 并 适当 扩展 了 PKI 的 功能 。 目 前 该 标准 包括 密码 报 文 语法 、 报 文 规范 、 
证 书 处 理 以 及 证 书 申请 语法 等 方面 的 内 容 。 

SSL/TLS 是 因特网 中 访问 Web 服务 器 最 重要 的 安全 协议 。 当 然 , 它们 也 可 以 应 用 于 
基于 客户 端 /服务 器 模型 的 非 Web 类 型 的 应 用 系统 。SSL/TLS 利用 PKI 的 数字 证 书 来 认 
证 客户 端 和 服务 器 的 身份 。 

IPSec 是正 TF 制定 的 他 层 加 密 协议 , PKI 技术 为 其 提供 了 加 密 和 认证 过 程 的 密 钥 管 
理 功能 。IPSec 主要 用 于 开发 新 一 代 的 VPN。 


4.10 ”文件 加 密 和 电子 签 章 


4.10.1 文件 加 密 技术 


文件 加 密 是 一 种 常见 的 密码 学 应 用 。 文 件 加 密 技术 是 下 面 三 种 技术 的 结合 。 

(1) 密码 技术 。 包 括 对 称 密码 和 非 对 称 密码 ， 可 能 是 分 组 密码 ， 也 可 能 采用 序列 密 
码 ， 文 件 加 密 的 底层 技术 是 数据 加 密 。 

(2) 操作 系统 。 文 件 系统 是 操作 系统 的 重要 组 成 部 分 ， 对 文件 的 输入 输出 操作 或 文 
件 的 组 织 和 存储 形式 进行 加 密 也 是 文件 加 密 的 常用 手段 。 对 动态 文件 进行 加 密 尤其 需要 
熟悉 文件 系统 的 细节 。 文 件 系统 与 操作 系统 其 他 部 分 的 关联 ， 如 设备 管理 、 进 程 管理 和 
内 存 管理 等 ， 都 可 被 用 于 文件 加 密 。 

(3) 文件 分 析 技术 。 不 同 的 文件 类 型 的 语义 操作 体现 在 对 该 文件 类 型 进行 操作 的 应 
用 程序 中 ， 通 过 分 析 文 件 的 语法 结构 和 关联 的 应 用 程序 代码 而 进行 一 些 置换 和 替换 ， 在 
实际 应 用 中 经 常 可 以 达到 一 定 的 文件 加 密 效 果 。 

利用 以 上 技术 ， 文 件 加密 主 要 包括 以 下 内 容 。 

(1) 文件 的 内 容 加 密 ， 通 常 采 用 二 进 制 加 密 的 方法 。 

(2) 文件 的 属性 加 密 。 

(3) 文件 的 输入 输出 和 操作 过 程 的 加 密 ， 即 动态 文件 加 密 。 

通常 一 个 完整 的 文件 加 密 系统 包括 操作 系统 的 核心 驱动 、 设 备 接口 、 密 码 服务 组 件 
和 应 用 层 几 个 部 分 。 


4.10.2 ”EFS 文件 加 密 技 术 


4.10.2.1 EFS 概述 


通过 文件 加 密 ， 可 以 保护 敏感 数据 。Windows Server 2003 通过 登录 认证 和 NTFS 权 
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限 可 控制 用 户 对 文件 的 非 授 权 存 取 ， 但 如 果 用 户 在 同一 台 计算 机 上 安装 并 启动 不 同 的 操 
作 系 统 ， 从 而 绕 过 登录 认证 和 NTFS 的 权限 设置 ， 此 时 存放 在 硬盘 上 的 数据 就 会 变 得 非 
常 脆 弱 。 为 消除 这 种 安全 漏洞 ，Microsoft 提供 了 加 密 文件 系统 (Encrypting File System， 
EFS), 与 NTFS 紧密 集成 ， 给 敏感 数据 提供 深层 保护 。 当 文件 被 EFS 加 密 后 ， 只 有 加 密 
用 户 和 数据 恢复 代理 用 户 才能 解密 加 密 文 件 ， 其 他 用 户 即 使 取得 该 文件 的 所 有 权 也 不 能 
解密 。 

Microsoft 公司 的 EFS 使 用 对 称 密 钥 和 非 对 称 密 钥 技术 相 结 合 的 方法 来 提供 文件 的 
保护 ， 对 称 密 钥 用 于 加 密 文 件 ， 非 对 称 密 钥 中 的 公 钥 用 于 加 密 对 称 密 钥 。 

在 使 用 EFS 时 ，EFS 首先 检查 用 户 是 否 有 有 效 的 EFS 用 户 证 书 ， 如 果 没 有 ，EFS 请 
求 在 线 企业 CA 发 布 证 书 ， 如 果 企 业 CA 不 可 得 到 ，EFS 就 为 用 户 创建 一 个 证 书 和 用 于 
以 后 EFS 操作 的 公 / 私 钥 对 。 

EFS 加 密 发 生 在 文件 系统 层 而 不 在 应 用 层 ， 因 此 ， 其 加 密 和 解密 过 程 对 加 密 用 户 和 
应 用 程序 是 透明 的 。 用 户 在 使 用 加 密 文件 时 ， 感 觉 与 普通 文件 一 样 。 如 打开 文件 调用 
Win32 APIs 的 CreateFile 和 OpenFile 函数 , 读 文 件 调 用 ReadFile、ReadFileEx 和 Read-File 
Scatter 函数 ， 写 文件 调用 WriteFileg、WriteFileEx 和 WriteFileScatter 函数 等 。 


4.10.2.2 ”EFS 的 基本 原理 和 结构 


当 用 户 生成 加 密 文件 时 ， 随 机 密码 产生 器 生成 一 个 对 称 密 钥 FEK，EFS 使 用 FEK 
加 密 文件 中 的 数据 ， 然 后 使 用 EFS 用 户 证 书 中 的 公开 密 钥 加 密 FEK 得 到 数据 解密 域 
(Data Decryption Fields，DDF)， 再 使 用 数据 恢复 代理 (Data Recovery Agent，DRA) 证 
书 中 的 公 钥 加 密 FEK。 由 于 数据 恢复 代理 可 有 多 个 ， 所 以 可 能 存在 多 个 不 同 DRA 证 书 
中 公 钥 加 密 的 FEK。 所 有 这 些 经 DRA 证 书 中 公 钥 加 密 的 FEK 组 合 在 一 起 得 到 数据 恢复 
域 (Data Recovery Fields，DRF)。 最 后 ，EFS 将 DDF、DRF 作为 加 密 文件 头 和 经 FEK 
加 密 的 数据 组 合 得 到 加 密 文 件 ， 其 结构 如 图 4-112 所 示 。 


经 用 户 公 钥 加 密 的 
FEK 


DDF | DRF 
文件 头 


4-112 EFS 加 密 文 件 的 结构 


为 保证 EFS 系统 对 用 户 透 明 的 操作 ，EFS 组 件 存在 于 操作 系统 的 多 个 层 上 ， 主 要 分 
为 用 户 模式 和 内 核 模式 ， 用 户 模式 主要 包括 Win32 API 层 、EFS 服务 (EFS Service)、 微 
软 加 密 应 用 程序 编程 接口 和 加 密 服务 提供 者 (Cryptographic Service Provider，CSP)。 内 
核 模 式 主要 包括 EFS 驱动 (EFS Driver)、EFS 文件 系统 运行 库 (File System Run-Time 


sl 
FEK 


| 
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Library，FSTRL)， 其 关系 如 图 4-113 所 示 。 


用 训 用 户 模式 

1 
Win32 层 一 一 -| EFS 服务 上- 一 cryptoAPI |—=—~| CSP 

1 
1/O 管 理 用 于 所 有 密 钥 管理 支持 的 LPC 通 信 

下 

| EFS 驱 动 和 FSRTL | 
| FSRTD 呼 叫 


图 4-113 ”EFS 结构 


(1) CSP。 在 Windows Server 2003 中 ，EFS 使 用 默认 的 对 称 密 钥 加 密 算法 AES 
(Advanced Encryption Standard)， 其 密 钥 长 度 达到 256 位 ， 该 加 密 强度 足以 保证 一 般 用 
户 的 数据 安全 需求 。 在 非 对 称 密 钥 方面 ，EFS 默认 使 用 MicrosoftBase Provider， 其 默认 
密 钥 长 度 为 1024 位 ， 可 以 通过 修改 以 下 注册 表 中 的 DWORD 键 值 来 增加 加 密 强度 : 

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\EFS\RSAKeyLength DWORD 
键 值 的 范围 为 1024 一 16 384 位 要 注意 的 是 ,如 果 设 置 值 大 于 1024, EFS 将 使 用 Microsoft 
Enhanced Provider 生成 密 钥 。 

(2) CryptoAPI。CryptoAPI 包含 一 组 函数 ， 并 通过 EFS 服务 为 Win32 层 提供 服务 ， 
包括 公 / 私 钥 和 对 称 密 钥 的 密 钥 生成 、 密 钥 管 理 与 密 钥 的 安全 存储 、 密 钥 交 换 、 加 密 、 解 
密 、Hash 值 计 算 、 数 字 签名 和 签名 验证 等 。 在 使 用 时 ， 对 EFS 来 说 ，CryptoAPI 中 的 所 
有 操作 是 暗箱 式 的 ，EFS 只 要 调用 相应 函数 来 实现 相应 功能 而 不 必 关 心 实现 的 细节 。 

(3) Win32 层 。Win32 层 实质 是 一 组 Win32 APIs， 它 为 应 用 程序 提供 编程 接口 ， 如 
加 密 明文 函数 EncryptFile0、 解 密 密 文 函数 DecryptFile0、 复 制 加 密 文 件 信息 函数 
DuplicateEncryption InfoFile() 和 加 密 文件 状态 函数 FileEncryptionStatus0 等 ， 这 些 函 数 的 
详细 调用 方法 可 参阅 MSDN Library for Visual Studio NET 2003。 所 有 的 Win32 API 由 系 
统 动态 链接 库 Advapi32.dll 提供 。 

(4) EFS 服务 。EFS 服务 调用 CryptoAPI 来 为 一 个 数据 文件 获得 文件 加 密 密 钥 ， 再 
调用 CryptoAPI 获得 EFS 用 户 证 书 中 的 公 钥 和 DRA 证 书 中 的 公 钥 , 分别 加 密 FEK 形成 
DDF 和 DRF。 同 时 ， 通 过 本 地 过 程 调用 LPC (Local Procedure Call) 通信 模块 与 EFS 驱 
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动 传递 FEK、DDF 和 DRF。 

(5) EFS 驱动 。EFS 驱动 与 NTFS 紧密 集成 ， 并 位 于 NTFS 逻辑 上 的 最 高 层 。EFS 
驱动 和 EFS 服务 通信 ， 请 求 FEK、DDF 和 DRF， 然 后 再 把 这 些 信息 传递 给 FSRTL 实现 
各 种 透明 的 文件 操作 ， 如 打开 文件 、 读 文件 和 写 文件 等 。 

(6) EFSFSRTL。EFS FSRTL 实现 由 NTFS 呼叫 要 求 处 理 的 各 种 文件 系统 操作 ， 如 
读 、 写 、 打 开 加 密 文件 和 文件 数据 在 写 入 或 从 磁盘 中 读 出 时 的 加 密 、 解 密 及 恢复 数据 等 
操作 。 在 EFS 结构 中 ，EFS 驱动 和 EFS FSRTL 以 一 个 组 件 出 现 ， 但 它们 之 间 不 直接 通 
信 ， 而 是 通过 NTFS 文件 控制 呼叫 机 制 来 彼此 传递 信息 ， 这 样 确保 了 NTFS 能 参与 到 所 
有 的 文件 操作 中 。 通过 NTFS 文件 控制 呼叫 机 制 实现 的 操作 包括 写 DDF、DRF 及 传递 在 
EFS 服务 中 计算 得 到 的 FEK 等 。 


4.10.2.3 ”EFS 加 密 解密 文件 的 过 程 


EFS 本 地 加 密 文件 的 过 程 如 下 。 

(1) EFS 服务 调用 FileEncryptionStatus0) 确 认 文 件 是 否 可 以 加 密 ， 对 系统 文件 和 存放 
于 %systemroot% 文 件 夹 中 的 文件 不 能 被 加 密 。 若 文件 可 加 密 ，EFS 服务 独占 式 地 打开 
文件 。 

(2) EFS 服务 调用 CryptoAPI 随机 产生 一 个 对 称 密 钥 FEK。 

(3) EFS 自动 从 用 户 证 书 中 获取 公 钥 并 使 用 RSA 加 密 算 法 加 密 FEK 得 到 DDF; 
EFS 自动 从 DRA 证 书 中 获取 公 钥 并 使 用 RSA 加 密 算法 加 密 FEK， 若 有 多 个 DRA， 则 
用 每 个 DRA 证 书 中 的 公 钥 加 密 FEK 的 每 个 备份 ， 所 有 经 DRA 公 钥 加 密 后 的 FEK 形成 
DRF。 其 中 ,DRA 证 书 区 别 于 EFS 用户 证 书 的 标志 是 证 书 中 的 EKU(Enhanced Key Usage) 
字段 。 所 有 的 DDF、DRF， 再 加 上 EFS 版 本 信息 和 加 密 算法 信息 形成 EFS 元 数据 。 

(4) EFS 在 一 个 临时 系统 文件 夹 下 建立 一 个 临时 文件 ， 把 要 加 密 的 源 文件 中 所 有 数 
据 流 复制 到 临时 文件 。 然 后 ，EFS 将 EFS 元 数据 写 入 源 文件 ， 再 将 临时 文件 中 的 数据 利 
用 FEK 通过 AES 加 密 算法 逐 块 加 密 后 形成 加 密 块 链 附 加 到 源 文件 , 最 后 形成 加 密 文件 。 
因为 元 数据 内 容 通常 小 于 1024 字 节 ， 而 用 AES 加 密 算 法 加 密 数据 后 没有 增加 额外 的 数 
据 ， 所 以 加 密 文件 的 大 小 与 源 文件 相差 无 已 。 

(5) EFS 校 验 生 成 的 加 密 文件 ， 若 校 验 成 功 ， 则 删除 临时 文件 。 

当 用 户 保存 一 个 新 文件 到 加 密 文件 夹 时 ， 其 过 程 除 没 有 建立 临时 文件 外 ， 其 余 类 似 
于 上 述 过 程 。 

EFS 本 地 解密 文件 的 过 程 如 下 。 

(1) NTFS 发 送 一 个 解密 请 求 呼叫 到 EFS 驱动 。 

(2) EFS 驱动 从 加 密 文件 获得 DDF 并 传递 给 EFS 服务 。 

(3) EFS 服务 从 用 户 配置 文件 中 获得 用 户 的 私 钥 解密 DDF 得 到 FEK， 再 将 FEK 传 
递 给 EFS 驱动 。 
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(4) EFS 驱动 使 用 FEK 解密 加 密 文件 中 应 用 程序 需要 的 部 分 。 要 注意 的 是 ， 因 为 
EFS 使 用 加 密 块 链 ， 所 以 EFS 驱动 只 使 用 FEK 解密 应 用 程序 需要 的 部 分 。 
(5) EFS 驱动 将 解密 后 的 数据 传递 到 NTFS， 再 由 NTFS 发 送 到 应 用 程序 。 


4.10.3 ”电子 印章 的 概念 


电子 签 章 (electronic signature) 也 叫 电 子 签名 。 从 法 律 的 角度 ， 所 谓 电 子 签 章 ， 是 
指数 据 电文 中 以 电子 形式 所 含 、 所 附 用 于 识别 签名 人 身份 并 表明 签名 人 认可 其 中 内 容 的 
数据 。 数 据 电文 是 指 以 电子 、 光 学 、 磁 或 者 类 似 手段 生成 、 发 送 、 接 收 或 者 储存 的 信息 。 
我 们 平常 所 讲 的 数字 签名 属于 电子 签 章 中 的 一 种 ,是 指 以 非 对 称 密 钥 技术 为 基础 的 签名 ， 
而 电子 签 章 还 可 以 包括 口令 、 密 钥 以 及 生物 特征 鉴别 法 等 。 

从 技术 的 角度 ， 电 子 印 章 泛 指 所 有 以 电子 形式 存在 ， 依 附 在 电子 文件 并 与 其 逻辑 关 
联 ， 可 用 以 辨识 电子 文件 签署 者 身份 ， 保 证 文件 的 完整 性 ， 并 表示 签署 者 同意 电子 文件 
所 陈述 事实 的 内 容 。 一 般 来 说 ， 对 电子 签 章 的 认定 ， 都 是 从 技术 角度 而 言 的。 主要 是 指 
通过 特定 的 技术 方案 来 鉴别 当事人 的 身份 及 确保 交易 资料 内 容 不 被 算 改 的 安全 保障 措 
施 ; 从 广义 上 讲 ， 电 子 签 章 不 仅 包括 我 们 通常 意义 上 讲 的 数字 签名 ， 也 包括 计算 机 口令 、 
生物 笔迹 辨别 、 指 纹 识别 ， 以 及 新 近 出 现 的 眼 虹膜 透视 辨别 法 、 面 纹 识别 等 。 

电子 签 章 系统 是 伴随 着 信息 化 建设 而 出 现 的 高 新 技术 。 主 要 解决 电子 文件 的 签字 盖 
章 问题 ， 用 于 辨识 电子 文件 签署 者 的 身份 ， 保 证 文件 的 完整 性 ， 确 保 文件 的 真实 性 、 可 
靠 性 和 不 可 抵赖 性 。 电 子 印章 是 一 种 用 于 电子 文件 之 上 ， 与 传统 的 手写 签名 、 盖 章 具有 
完全 相同 功能 的 技术 。 电 子 印章 可 以 实现 无 纸 化 办 公 ， 有 利于 社会 环境 保护 ， 减 少 自然 
资源 浪费 ， 并 节约 大 量 邮寄 和 传送 费用 ;， 节 省 工作 人 员 为 盖 章 来 回 跑 动 的 时 间 和 精力 。 
电子 印章 可 存储 于 磁盘 、IC 卡 和 USB 存储 棒 等 存储 介质 中 。 电 子 签 章 技 术 包 括 数字 签 
章 技 术 和 逐渐 普及 的 用 于 身份 验证 的 生物 识别 技术 如 指纹 、 面 纹 和 DNA 技术 等 。 目 前 ， 
最 成 熟 的 电子 签 章 技术 是 “数字 签名 (Digital Signature)”， 它 是 以 公 钥 及 密 钥 的 “ 非 对 
称 型 ”密码 技术 制作 的 电子 签 章 。 数 字 签 章 不 是 一 个 数字 化 的 印章 图 片 ， 并 非 是 书面 签 
字 盖 章 的 数字 图 像 化 ， 同 时 数字 签 章 不 是 数字 签名 或 数字 签名 的 替代 ， 更 不 是 数字 签名 
的 增强 ， 只 是 解决 数字 签名 的 可 视 化 ， 是 将 传统 的 印鉴 文化 与 现代 密码 学 结合 起 来 的 一 
种 技术 。 

利用 电子 签 章 , 收 件 人 能 够 通过 网 络 传输 文件 并 可 以 轻松 验证 发 件 人 的 身份 和 签 章 ， 
还 能 验证 出 文件 的 原文 在 传输 过 程 中 有 无 变动 。 电 子 签 章 系统 通过 一 套 标准 化 、 规 范 化 
的 软 硬 结合 的 系统 ， 使 用 户 可 以 在 电子 文件 上 完成 签字 盖 章 ， 电 子 签 章 系 统 是 电子 时 代 
的 印章 。 

电子 签名 法 的 出 台 ， 为 电子 签 章 提供 了 技术 和 法 律 的 保障 。 一 旦 发 生 了 法 律 纠纷 ， 
可 以 根据 电子 签名 追 逆 到 责任 人 ， 并 将 之 作为 重要 证 据 。 电 子 签 章 问 题 也 是 电子 商务 和 
电子 政务 建设 中 必须 首先 解决 的 核心 问题 。 我 国 的 《电子 签名 法 》 规 范 了 法 律 认可 的 数 
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据 电文 、 数 据 电文 的 书面 形式 和 原件 形式 的 概念 ， 同 时 解释 了 数据 电文 的 文件 保存 以 及 
作为 证 据 的 条 件 ， 明 确 了 对 数据 电文 的 发 送 和 收 到 的 概念 。 

电子 签名 人 是 指 持 有 电子 签名 制作 数据 并 以 本 人 身份 或 者 以 其 所 代表 的 人 的 名 义 实 
施 电子 签名 的 人 ;电子 签名 依赖 方 是 指 基于 对 电子 签名 认证 证 书 或 者 电子 签名 的 信赖 从 
事 有 关 活 动 的 人 ; 电子 签名 认证 证 书 是 指 可 证 实 电子 签名 人 与 电子 签名 制作 数据 有 联系 
的 数据 电文 或 者 其 他 电子 记录 ; 电子 签名 制作 数据 是 指 在 电子 签名 过 程 中 使 用 的 ， 将 电 
子 签名 与 电子 签名 人 可 靠 地 联系 起 来 的 字符 、 编 码 等 数据 ， 电 子 签名 验证 数据 是 指 用 于 
验证 电子 签名 的 数据 ， 包 括 代 码 、 口 令 、 算 法 或 者 公 钥 等 。 

在 国外 特别 是 西方 ,其 电子 公文 中 的 公文 认证 和 身份 认证 一 般 通过 数字 签名 来 实现 。 
一 个 通用 的 数字 签名 系统 包括 两 个 功能 模块 : 身份 认证 功能 模块 和 内 容 认 证 功能 模块 。 
前 者 用 来 限制 非法 登录 和 用 户 权限 的 非法 冒 用 ， 确 保 一 个 通信 过 程 的 合法 性 ， 后 者 用 来 
保证 合法 通信 过 程 中 通信 内 容 的 可 信和 性 。 


4.10.4 数字 签名 


4.10.4.1 可 用 的 数字 签名 的 条 件 


可 用 的 数字 签名 应 保证 以 下 几 个 条 件 。 

(1) 签名 是 可 信 的 。 签 名 使 文件 的 接收 者 相信 签名 者 是 慎重 地 在 文件 上 签字 的 。 

(2) 签名 不 可 伪造 。 签 名 证 明 是 签字 者 而 不 是 其 他 人 慎重 地 在 文件 上 签字 。 

(3) 签名 不 可 重用 。 签 名 是 文件 的 一 部 分 ， 不 法 之 徒 不 可 能 将 签名 移 到 不 同 的 文 
件 上 。 

(4) 签名 的 文件 是 不 可 改变 的 。 在 文件 签名 后 ， 文 件 不 能 改变 。 

(5) 签名 是 不 可 抵赖 的 。 签 名 和 文件 是 物理 的 东西 。 签 名 者 事后 不 能 声称 他 没有 签 
过 名 。 

在 现实 生活 中 ， 关 于 签名 的 这 些 特性 没有 一 个 是 完全 真实 的 。 签 名 能 够 被 伪造 ， 签 
名 能 够 从 文章 中 盗用 移 到 另 一 篇 文章 中 ， 文 件 在 签名 后 能 够 被 改变 。 在 计算 机 上 做 这 种 
事情 ， 同 样 存在 一 些 问题 。 首 先 计算 机 文件 易于 复制 。 即 使 某 人 的 签名 难以 伪造 〈《 例 如， 
手写 签名 的 图 形 )， 但 是 从 一 个 文件 到 另 一 个 文件 剪 切 和 粘贴 有 效 的 签名 都 是 很 容易 的 。 
这 种 签名 并 没有 什么 意义 。 其 次 ， 文 件 在 签名 后 也 易于 修改 ， 并 且 不 会 留 下 任何 修改 的 
痕迹 。 为 解决 这 些 问 题 ， 数 字 签 名 技术 就 应 运 而 生 。 


4.10.4.2 ”对 称 密 钥 签名 


Alice 想 对 数字 消息 签名 ， 并 送 给 Bob。 在 Trent 和 对 称 密码 系统 的 帮助 下 ， 她 能 对 
数字 消息 签名 ， 并 安全 的 送 给 Bob。 
Trent 是 一 个 有 权 的 、 值 得 依赖 的 仲裁 者 。 他 能 同时 与 Alice 和 Bob 〈 也 可 以 是 其 他 
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想 对 数据 文件 签名 的 任何 人 ) 通信 。 他 和 Alice 共享 秘密 密 钥 KA， 和 Bob 共享 另 一 个 
不 同 的 秘密 密 钥 KB 。 这 些 密 钥 在 协议 开始 前 就 早已 建 好 ， 并 且 为 了 多 次 签名 可 多 次 重复 
使 用 。 

(1) Alice 用 KA 加 密 她 准备 发 送 给 Bob 的 信息 ， 并 把 它 传送 给 Trent。 

(2) Trent 用 KA 解密 信息 。 

(3) Trent 把 这 个 解密 信息 和 他 收 到 Alice 信息 的 声明 ， 一 起 用 KB 加 密 。 

(4) Trent 把 加 密 的 信息 包 传 给 Bob。 

(5) Bob 用 KB 解密 信息 包 ， 他 就 能 读 Alice 所 发 的 信息 和 Trent 的 证 书 ， 证 明 信 息 
来 自 Alice。 

整个 过 程 如 图 4-114 所 示 。 

Alice Trent Bob 


Ec, (M) 


E (Ds, (Er, (MD)) ,Exrs (M)) i 


M, Exr, 0D) 
图 4-114 Alice 和 Bob 利用 对 称 密 钥 签 名 进行 的 通信 过 程 


Trent 怎么 知道 信息 是 从 Alice 而 不 是 从 其 他 人 冒名 顶 蔡 者 那里 来 的 呢 ? 可 以 从 信息 
的 加 密 推 断 出 来 。 由 于 只 有 他 和 Alice 共享 他 们 两 人 的 秘密 密 钥 ， 所 以 只 有 Alice 能 用 这 
个 密 钥 加 密 信息 。 

对 该 过 程 进 行 如 下 分 析 。 

(1) 这 个 签名 是 可 信 的 ，Trent 是 可 信 的 仲裁 者 ,并 且 知 道 消息 是 从 Alice 那里 来 的 ， 
Trent 的 证 书 对 Bob 起 着 证 明 的 作用 。 

(2) 这 个 签名 是 不 可 伪造 的 。 只 有 Alice (和 Trent， 但 每 个 人 都 相信 他 ) 知道 KA， 
因此 只 有 Alice 才能 把 用 KA 加 密 的 信息 传 给 Trent。 如 果 有 人 冒充 Alice, Trent 在 第 (2) 
步 马 上 就 会 察觉 ， 并 且 不 会 去 证 明 它 的 可 靠 性 。 

(3) 这 个 签名 是 不 能 重新 使 用 的 。 如 果 Bob 想 把 Trent 的 证 书 附 到 另 一 个 信息 上 ， 
Alice 可 能 就 会 大 叫 受 骗 了 。 仲 裁 者 (可 能 是 Trent 或 者 可 存 取 同一 信息 的 完全 不 同 的 仲 
裁 者 ) 就 会 要 求 Bob 同时 提供 信息 和 Alice 加 密 后 的 信息 ， 然 后 仲裁 者 就 用 KA 加 密 信 
息 ， 他 马上 就 会 发 现 它 与 Bob 提供 的 加 密 信息 不 相同 。 很 显然 ，Bob 由 于 不 知道 KA， 
他 不 可 能 提供 加 密 信息 使 它 与 用 KA 加 密 的 信息 相符 。 

(4) 签名 文件 是 不 能 改变 的 。Bob 想 在 接收 后 改变 文件 ，Trent 就 可 用 刚才 描述 的 同 
样 办 法 证 明 Bob 的 思春 行为 。 

(5) 签名 是 不 能 抵赖 的 。 如 果 Alice 以 后 声称 她 没有 发 信息 给 Bob，Trent 的 证 书 会 
说 明 不 是 这 样 。 因 为 Trent 是 每 个 人 都 信任 的 ， 他 说 的 都 是 正确 的 。 
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如 果 Bob 想 把 Alice 签名 的 文件 给 Carol 阅读 ， 他 不 能 把 自己 的 秘密 密 钥 交 给 她 ， 
还 要 通过 Trent。 

(1) Bob 把 信息 和 Trent 关于 信息 是 来 自 Alice 的 声明 用 KB 加 密 ， 然 后 送 回 给 
Trent。 

(2) Trent 用 KB 解密 信息 包 。 

(3) Trent 检查 他 的 数据 库 ， 并 确认 原始 信息 是 从 Alice 那里 来 的 。 

《4) Trent 用 他 和 Carol 共享 的 密 钥 KC 重新 加 密 信息 包 ， 并 把 信息 包 送 给 Carol。 

(5) Carol 用 KC 解密 信息 包 ， 她 就 能 阅读 信息 和 Trent 证 实 信息 来 自 Alice 的 证 书 。 

这 些 协议 是 可 行 的 ， 但 对 Trent 来 说 是 非常 耗 时 的 。 他 不 得 不 整 天 加 密 、 解 密 信息 ， 
在 彼此 想 发 送 签名 文件 的 每 一 对 人 之 间 充 当中 间 人 。 他 必须 备 有 数据 库 信 息 〈 虽 然 可 以 
通过 把 发 送 者 加 密 的 信息 的 备份 发 送 给 接收 者 来 避免 )。 在 任何 通信 系统 中 , 即使 他 是 毫 
无 思想 的 软件 程序 ， 都 是 通信 瓶颈 。 更 困难 的 是 ， 产 生 和 保持 像 Trent 那样 的 网 络 用 户 
都 信任 的 人 。Trent 必须 是 完善 无 缺 的 ， 即 使 他 在 100 万 次 签名 中 只 犯 了 一 个 错误 ， 也 将 
不 会 有 人 再 信任 他 。Trent 必须 是 完全 安全 的 ， 如 果 他 的 秘密 密 钥 数据 库 泄露 了 ， 或 有 人 
能 修改 他 的 程序 代码 ， 所 有 人 的 签名 可 能 是 完全 无 用 的 。 一 些 声称 是 数 年 前 签名 的 假 文 
件 便 可 能 出 现 , 这 将 引起 混乱 。 理论 上 这 种 协议 或 许 是 可 行 的 , 但 实际 上 不 能 很 好 运转 。 


4.10.4.3 ”公开 密 钥 签名 


在 对 称 密码 体制 中 由 于 加 密 密 钥 和 解密 密 钥 是 可 以 相互 推导 的 ， 密 钥 暴 露 会 使 系统 
变 得 不 安全 。 对 称 密码 体制 的 一 个 严重 缺陷 在 于 : 通信 双方 在 传送 密 文 之 前 必须 要 使 用 
一 个 安全 信道 预先 通信 密 钥 K。 在 实际 中 找到 一 个 满足 要 求 的 安全 信道 是 很 不 容易 的 ， 
一 般 都 是 通过 物理 方式 交换 密 钥 ， 如 在 约定 地 点 秘密 交换 密 钥 。 而 公 钥 密码 体制 可 以 很 
容易 地 解决 密 钥 交 换 问题 。 在 公 钥 密码 系统 中 ， 解 密 密 钥 和 加 密 密 钥 是 不 同 的 ， 并 且 很 
难 从 一 个 推导 出 另外 一 个 。 公 钥 密 码 算法 的 密 钥 都 是 一 对 的 ， 一 个 是 私 钥 ， 用 户 自动 保 
存 并 保密 ;另外 一 个 是 公 钥 ， 用 户 可 以 将 它 分 发 给 任何 需要 的 人 。 这 样 ， 通 信 双 方 不 用 
预先 交换 密 钥 就 可 以 建立 保密 通信 了 。 

公开 密 钥 签名 的 基本 协议 过 程 如 下 《〈 如 图 4-115 所 示 )。 


_ EK (M) 
Alice Bob 


Dr, (Er, (M)) 
图 4-115 Alice 和 Bob 利用 非 对 称 密 钥 签名 进行 的 通信 过 程 


(1) Alice 用 她 的 私 钥 对 文件 加 密 ， 从 而 对 文件 签名 。 
(2) Alice 将 签名 的 文件 传 给 Bob。 
(3) Bob 用 Alice 的 公 钥 解密 文件 ， 从 而 验证 签名 。 
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这 个 协议 比 以 前 的 算法 更 好 。 不 需要 Trent 去 签名 和 验证 , 他 只 需要 证 明 Alice 的 公 
钥 的 确 是 她 的 。 甚至 协议 的 双方 不 需要 Trent 来 解决 争端 , 如 果 Bob 不 能 完成 第 (3) 步 ， 
那么 他 知道 签名 是 无 效 的 。 

数字 签名 的 基本 过 程 如 图 4-116 所 示 。 这 个 协议 也 满足 我 们 期 待 的 特征 。 


图 4-116 数字 签名 的 基本 过 程 


(1) 签名 是 可 信 的 。 当 Bob 用 Alice 的 公 钥 验证 信息 时 ， 他 知道 是 由 Alice 签名 的 。 

(2) 签名 是 不 可 伪造 的 。 只 有 Alice 知道 她 的 私 钥 。 

(3) 签名 是 不 可 重用 的 。 签 名 是 文件 的 函数 ， 并 且 不 可 能 转换 成 另外 的 文件 。 

(4) 被 签名 的 文件 是 不 可 改变 的 。 如 果 文 件 有 任何 改变 ， 文 件 就 不 可 能 用 Alice 的 
公 钥 验证 。 

(5) 签名 是 不 可 抵赖 的 。Bob 不 用 Alice 的 帮助 就 能 验证 Alice 的 签名 。 


4.10.4.4 ”基于 消息 摘要 的 签名 


在 实践 中 ， 采 用 公 钥 密码 算法 对 长 文件 签名 效率 太 低 。 为 了 节约 时 间 ， 数 字 签 名 协 
议 经 常 和 单 向 Hash 函数 一 起 使 用 。Alice 并 不 对 整个 文件 签名 ， 只 对 文件 的 Hash 值 签 
名 。 在 这 个 协议 中 ， 单 向 Hash 函数 和 数字 签名 算法 是 事先 就 协商 好 了 的 。 

(1) Alice 产生 文件 的 单 向 Hash 值 。 

(2) Alice 用 她 的 私 钥 对 Hash 加 密 ， 赁 此 表示 对 文件 签名 。 

(3) Alice 将 文件 和 Hash 签名 送 给 Bob。 

(4) Bob 用 Alice 发 送 的 文件 产生 文件 的 单 向 Hash 值 ， 然 后 用 数字 签名 算法 对 Hash 
值 运算 ,同时 用 Alice 的 公 钥 对 签名 的 Hash 解密 .如 果 签 名 的 Hash 值 与 自己 产生 的 Hash 
值 匹配 ， 签 名 就 是 有 效 的 。 


724 网 络 规划 设计 师 教 程 
基于 消息 摘要 的 数字 签名 基本 过 程 如 图 4-117 所 示 。 


Yes \ mm Hash 函 数 
二 N I { 
E=m | 
和 一 经 密 铜 冤 名 的 摘要 < / 
明 : 2 os a | 日 + 签 
2 Re 他 CS ee Et 
消息 摘要 1 - 


必 用 于 签名 的 密 钥 
已 


图 4-117 基于 消息 摘要 的 签名 过 程 


计算 速度 大 大 地 提高 了 , 并 且 两 个 不 同 的 文件 有 相同 的 160 位 Hash 值 的 概率 为 1/2。 
因此 ， 使 用 Hash 函数 的 签名 和 文件 签名 一 样 安全 。 如 果 使 用 非 单 向 Hash 函数 ， 可 能 很 
容易 产生 多 个 文件 使 它们 的 Hash 值 相 同 ， 这 样 对 一 特定 的 文件 签名 就 可 复制 用 于 对 大 
量 的 文件 签名 。 

该 协议 还 有 其 他 优点 。 首 先 ， 签 名 和 文件 可 以 分 开 保存 。 其 次 ， 接 收 者 对 文件 和 签 
名 的 存储 量 要 求 大 大 降低 了 。 档 案 系 统 可 用 这 类 协议 来 验证 文件 的 存在 而 不 需 保存 它们 
的 内 容 。 中 央 数 据 库 只 存储 各 个 文件 的 Hash 值 , 根本 不 需要 看 文件 。 用 户 将 文件 的 Hash 
值 传 给 数据 库 ， 然 后 数据 库 对 提交 的 文件 加 上 时 间 标 记 并 保存 。 如 果 以 后 有 人 对 某 文件 
的 存在 发 生 争 执 ， 数据库 可 通过 找到 文件 的 Hash 值 来 解决 争端 。 这 里 可 能 牵连 到 大 量 
的 隐秘 : Alice 可 能 有 某 文件 的 版 权 , 但 仍 保持 文件 的 秘密 。 只 有 当 她 想 证 明 她 的 版 权时 ， 
她 才 不 得 不 把 文件 公开 。 


4.10.5 ”电子 印章 的 关键 技术 


在 实践 中 ， 电 子 印章 系统 的 主要 技术 包括 PKI 技术 〈 或 生物 识别 技术 )、 智 能 卡 技 
术 和 数字 水 印 技术 。 

当前 的 电子 印章 系统 多 是 基于 智能 卡 式 的 , 智能 卡 是 一 种 IC 卡 , 具有 一 定 的 运算 功 
能 。 用 户 的 智能 卡 中 存放 有 个 人 信息 《图 章 或 者 签名 信息 )、 证 书信 息 以 及 密 钥 信息 等 ， 
智能 卡 一 般 采 用 PIN 码 保 护 ;用 户 在 签 章 时 需要 提供 自己 的 智能 卡 并 提供 自己 的 PIN 码 ; 
此 类 型 的 电子 印章 系统 由 于 其 比较 好 的 安全 性 、 稳 定性 、 方 便 性 以 及 相对 低廉 的 成 本 费 
用 而 得 到 比较 普遍 的 应 用 。 同 时 ， 当 前 的 印章 系统 还 有 基于 密码 和 生物 测定 式 的 。 密 码 
式 电子 印章 系统 要 求 用 户 设 定 一 个 密码 ， 由 数字 和 字符 组 成 ， 来 代表 用 户 身 份 ， 也 可 以 
有 相应 的 硬件 设施 《如 电子 笔 ) 配合 使 用 。 此 种 电子 印章 系统 不 能 对 用 户 进行 有 效 的 管 
理 ， 因 而 使 用 的 范围 比较 小 。 
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而 生物 测定 式 的 电子 印章 系统 是 以 用 户 的 身体 特征 为 基础 ， 通 过 某 种 设备 对 用 户 的 
指纹 、 面 部 、 视 网 膜 或 虹膜 进行 数字 识别 ， 从 而 确定 对 象 是 否 与 原 使 用 者 相同 。 此 种 电 
子 签 章 系统 由 于 要 对 持 有 者 的 某 些 身体 特征 进行 采集 ， 因 而 造成 系统 成 本 比较 高 ， 而 且 
使 用 不 方便 ， 因 而 使 用 范围 也 比较 有 限 。 

基于 生物 识别 技术 ， 如 指纹 识别 的 电子 印章 系统 ， 将 指纹 等 信息 以 图 形 噪音 的 形式 
嵌入 到 印章 图 像 中 ， 并 将 印章 图 像 与 电子 公文 合并 成 特定 格式 文件 ， 再 通过 专用 打印 机 
打印 出 来 。 这 实际 上 是 结合 硬件 实现 的 印章 系统 ， 包 括 专用 的 指纹 采集 器 和 专用 的 打印 
机 ， 其 缺点 是 以 噪音 的 形式 将 信息 嵌入 到 印章 图 像 中 必然 导致 印章 图 像 质量 的 下 降 。 

基于 分 布 式 简 化 严格 层次 (DSSH) PKI 信任 结构 类 型 的 电子 签 章 系统 ,将 不 同 的 实 
体 划 分 在 不 同 的 域 ， 每 个 域 里 只 有 一 个 认证 中 心 ， 普 通 的 CA 之 间 通 过 中 心 CA 进行 交 
叉 认证 。 通过 数字 签名 保护 印章 的 图 形 文件 ， 并 通过 IC 卡 储存 数字 证 书 、 印 章 文件 及 用 
户 的 私 钥 。 

结合 数字 签名 和 数字 水 印 技术 的 多 媒体 信息 认证 系统 ， 通 过 数字 签名 实现 发 送 方 与 
接收 方 的 身份 认证 ， 通 过 易 碎 数字 水 印 来 实现 发 送 数据 的 完整 性 和 真实 性 认证 。 

也 有 的 技术 方案 将 传统 印章 与 电子 印章 进行 结合 ， 通 过 完整 的 印章 网 络 管理 系统 ， 
对 于 显 式 〈 可 见 ) 的 传统 印章 ， 利 用 图 像 处 理 的 若干 技术 ， 包 括 模板 匹配 、 平 滑 和 锐 化 
等 ， 识 别 印章 图 像 。 对 于 电子 印章 ， 将 印章 存 到 中 心服 务 器 ， 利 用 客户 端 /服务 器 或 浏览 
器 /服务 器 结构 的 系统 进行 访问 。 

在 传统 印章 的 电子 鉴别 方面 的 主要 技术 包括 输入 技术 如 扫描 、 数 码 照 相等 ， 识 别 技 
术 如 模板 匹配 、 图 像 变 换 等 。 


4.10.6 ”数字 水 印 技术 


4.10.6.1 ”数字 水 印 的 概念 和 原理 


信息 安全 技术 大 多 以 密码 学 理论 为 基础 ,无 论 是 采用 传统 的 密 钥 系统 还 是 公 钥 系统 ， 
其 保护 方式 都 是 控制 文件 的 存 取 ， 即 将 文件 加 密 成 密 文 ， 使 非法 用 户 不 能 解读 。 但 随 着 
计算 机 处 理 能 力 的 快速 提高 ， 这 种 通过 不 断 增加 密 钥 长 度 来 提高 系统 密级 的 方法 变 得 越 
来 越 不 安全 。 另 一 方面 ， 多 媒体 技术 已 被 广泛 应 用 ， 需 要 进行 加 密 、 认 证 和 版 权 保护 的 
声 像 数 据 也 越 来 越 多 。 数 字 化 的 声 像 数 据 从 本 质 上 说 就 是 数字 信号 ， 如 果 对 这 类 数据 也 
采用 密码 加 密 方式 ， 则 其 本 身 的 信号 属性 就 被 忽略 了 。 

数字 水 印 是 一 种 有 效 的 数字 产品 版 权 保护 和 数据 安全 维护 技术 ， 是 信息 隐藏 技术 研 
究 领 域 的 一 个 重要 分 支 ， 也 是 电子 签 章 的 主要 技术 之 一 。 它 用 信号 处 理 的 方法 在 数字 化 
的 多 媒体 数据 中 嵌入 隐蔽 的 标记 ， 这 种 标记 通常 是 不 可 见 的 ， 只 有 通过 专用 的 检测 器 或 
阅读 器 才能 提取 。 如 果 将 具有 特定 意义 的 标记 (水印 ), 利用 数字 嵌入 的 方式 隐藏 在 数字 
图 像 、 声 音 、 文 档 、 图 书 和 视频 等 数字 产品 中 ， 即 可 用 以 证 明 创作 者 对 其 产品 的 所 有 权 ， 
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并 作为 鉴定 、 起 诉 非法 侵权 的 证 据 ， 同 时 通过 对 水 印 的 检测 和 分 析 来 保证 数字 信息 的 完 
整 可 靠 性 ,从 而 成 为 知识 产权 保护 和 数字 多 媒体 防伪 的 有 效 手 段 。 数 字 水 印 在 版 权 保护 、 
文件 的 真 伪 鉴 别 、 网 络 的 秘密 通信 、 隐 含 标注 和 网 络 资源 的 安全 等 方面 有 着 重要 而 广泛 
的 应 用 。 

数字 水 印 技术 的 基本 思想 源 于 古代 的 密 写 术 。 古 希腊 的 斯 巴 达 人 曾 将 军事 情报 刻 在 
普通 的 木板 上 ， 用 石 螨 填 平 ， 收 信 的 一 方 只 要 用 火 烤 热 木板 ， 融 化 石 螨 后 ， 就 可 以 看 到 
密 信 。 使 用 最 广泛 的 密 写 方法 丽 怕 要 算 化 学 密 写 了 ， 牛 奶 、 白 矶 和 果汁 等 都 曾 充 当 过 密 
写 药 水 的 角色 。 可 以 说 ， 人 类 早期 使 用 的 保密 通信 手段 大 多 数 属于 密 写 而 不 是 密码 。 然 
而 ， 与 密码 技术 相 比 ， 密 写 术 始终 没有 发 展 成 为 一 门 独立 的 学 科 ， 究 其 原因 ， 主 要 是 因 
为 密 写 术 缺乏 必要 的 理论 基础 。 

如 今 ， 数 字 化 技术 的 发 展 为 古老 的 密 写 术 注入 了 新 的 活力 ， 也 带 来 了 新 的 机 会 。 在 
研究 数字 水 印 的 过 程 中 ， 研 究 者 大 量 借鉴 了 密 写 技术 的 思想 。 尤 其 是 近年 来 信息 隐藏 技 
术 理 论 框架 研究 的 兴起 ， 更 给 密 写 术 成 为 一 门 严谨 的 科学 带 来 了 希望 。 毫 无 疑问 ， 密 写 
技术 将 在 数字 时 代 得 以 复兴 。 

简单 看 来 ， 水 印 系统 包含 水 印 嵌 入 模块 和 水 印 提取 模块 。 水 印 嵌 入 模块 的 功能 是 完 
成 将 水 印信 号 加 入 原始 数据 中 ; 水 印 提取 模块 是 用 来 判断 某 一 数据 块 中 是 否 含有 特定 的 
水 印信 号 ， 并 把 该 水 印信 号 提取 出 来 。 图 4-118 表明 了 数字 水 印 的 生成 和 检测 过 程 。 


水 印 提取 算法 
Es 


窗 角 kw 水 印 Wi 
合 水 印 的 文件 | | 合 水 印 的 文件 | | 
原始 信息 m ll l 
文件 x 有 无 


水 印 检测 算法 
D 


水 印 生成 算法 水 印 岩 入 算法 
G Em 


图 4-118 数字 水 印 的 生成 和 检测 过 程 


4.10.6.2 ”数字 水 印 的 特征 和 分 类 


数字 水 印 应 具备 以 下 几 个 特征 。 

(1) 不 可 感知 性 ， 或 隐蔽 性 。 即 嵌入 的 水 印 不 会 引起 明显 的 降 质 ， 或 数字 产品 在 视 
觉 或 听觉 质量 上 的 下 降 ， 并 且 不 易 被 察觉 。 

(2) 隐藏 位 置 的 安全 性 。 水 印信 息 隐 藏 于 数据 而 非 文 件 头 中 ， 文 件 格式 的 变换 不 应 
导致 水 印 数据 的 丢失 。 
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(3) 和 鲁 棒 性 。 所 谓 鲁 棒 性 ， 是 指 在 经 历 多 种 无 意 或 有 意 的 信号 处 理 过 程 后， 数字 水 
印 仍 能 保持 完整 性 或 仍 能 被 准确 鉴别 。 可 能 的 信号 处 理 过 程 包括 信道 噪声 、 滤 波 、 数 / 
模 与 模 / 数 转换 、 重 采样 、 剪 切 、 位 移 、 尺 度 变 化 以 及 有 损 压 缩编 码 等 。 

在 数字 水 印 技术 中 ， 水 印 的 数据 量 和 和 鲁 棒 性 构成 了 一 对 基本 矛盾 。 从 主观 上 讲 ， 理 
想 的 水 印 算法 应 该 既 能 隐藏 大 量 数据 ， 又 可 以 抗 各 种 信道 噪声 和 信号 变形 。 然 而 在 实际 
中 ， 这 两 个 指标 往往 不 能 同时 实现 ， 不 过 这 并 不 会 影响 数字 水 印 技术 的 应 用 ， 因 为 实际 
应 用 一 般 只 偏重 其 中 的 一 个 方面 。 如 果 是 为 了 隐蔽 通信 ， 数 据 量 显然 是 最 重要 的 ， 由 于 
通信 方式 极为 隐蔽 ， 遭 遇 敌 方 自 改 攻击 的 可 能 性 很 小 ， 因 而 对 鲁 棒 性 要 求 不 高 。 但 对 保 
证 数据 安全 来 说 ， 情 况 恰恰 相反 ， 各 种 保密 的 数据 随时 面临 着 被 盗 取 和 算 改 的 危险 ， 所 
以 鲁 棒 性 是 十 分 重要 的 ， 此 时 ， 隐 藏 数据 量 的 要 求 居于 次 要 地 位 。 

数字 水 印 技术 可 以 从 不 同 的 角度 进行 划分 。 

(1) 按 特性 划分 。 按 水 印 的 特性 可 以 将 数字 水 印 分 为 鲁 棒 数 字 水 印 和 脆弱 数字 水 印 
两 类 。 重 棒 数 字 水 印 主要 用 于 在 数字 作品 中 标识 著作 权 信息 ， 如 作者 、 作 品 序号 等 ， 它 
要 求 嵌 入 的 水 印 能 够 经 受 各 种 常用 的 编辑 处 理 ， 脆 弱 数 字 水 印 主要 用 于 完整 性 保护 ， 与 
鲁 棒 水 印 的 要 求 相 反 ， 脆 弱 水 印 必须 对 信和 号 的 改动 很 敏感 ， 人 们 根据 脆弱 水 印 的 状态 就 
可 以 判断 数据 是 否 被 算 改 过 。 

(2) 按 水 印 所 附 载 的 媒体 划分 。 按 水 印 所 附 载 的 媒体 ， 可 以 将 数字 水 印 划分 为 图 像 
水 印 、 音 频 水 印 、 视 频 水 印 、 文 本 水 印 以 及 用 于 三 维 网 格 模型 的 网 格 水 印 等 。 随 着 数字 
技术 的 发 展 ， 会 有 更 多 种 类 的 数字 媒体 出 现 ， 同 时 也 会 产生 相应 的 水 印 技术 。 

(3) 按 检测 过 程 划分 。 按 水 印 的 检测 过 程 可 以 将 数字 水 印 划分 为 明文 水 印 和 盲 水 
印 。 明 文 水 印 在 检测 过 程 中 需要 原始 数据 ， 而 盲 水 印 的 检测 只 需要 密 钥 ， 不 需要 原始 数 
据 。 一 般 来 说 ， 明 文 水 印 的 鲁 棒 性 比较 强 ， 但 其 应 用 受到 存储 成 本 的 限制 。 目 前 学 术 界 
研究 的 数字 水 印 大 多 数 是 盲 水 印 。 

(4) 按 内 容 划 分 。 按 数字 水 印 的 内 容 可 以 将 水 印 划 分 为 有 意义 水 印 和 无 意义 水 印 。 
有 意义 水 印 是 指 水 印 本 身 也 是 某 个 数字 图 像 〈 如 商标 图 像 ) 或 数字 音频 片段 的 编码 ; 无 
意义 水 印 则 只 对 应 于 一 个 序列 号 。 有 意义 水 印 的 优势 在 于 ， 如 果 由 于 受到 攻击 或 其 他 原 
因 致使 解码 后 的 水 印 破损 ， 人 们 仍然 可 以 通过 视觉 观察 确认 是 否 有 水 印 。 但 对 于 无 意义 
水 印 来 说 ， 如 果 解 码 后 的 水 印 序列 有 若干 码 元 错误 ， 则 只 能 通过 统计 决策 来 确定 信号 中 
是 否 含有 水 印 。 在 电子 签 章 的 应 用 中 ， 大 多 数 是 有 意义 水 印 。 

(5) 按 用 途 划 分 。 不 同 的 应 用 需求 造就 了 不 同 的 水 印 技术 。 按 水 印 的 用 途 ， 可 以 将 
数字 水 印 划分 为 票据 防伪 水 印 、 版 权 保护 水 印 、 段 改 提示 水 印 和 隐蔽 标识 水 印 。 

Q 票据 防伪 水 印 。 票据 防伪 水 印 是 一 类 比较 特殊 的 水 印 , 主要 用 于 打印 票据 和 电子 
票据 的 防伪 。 一 般 来 说 ， 伪 币 的 制造 者 不 可 能 对 票据 图 像 进行 过 多 的 修改 ， 所 以 ， 诸 如 
尺度 变换 等 信号 编辑 操作 是 不 用 考虑 的 。 但 另 一 方面 ， 人 们 必须 考虑 票据 破损 、 图 案 模 
糊 等 情形 ， 而 且 考 虑 到 快速 检测 的 要 求 ， 用 于 票据 防伪 的 数字 水 印 算法 不 能 太 复杂 。 
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@ 版 权 标识 水 印 。 版 权 标识 水 印 是 目前 研究 最 多 的 一 类 数字 水 印 。 数字 作品 既是 商 
品 又 是 知识 作品 ， 这 种 双重 性 决定 了 版 权 标识 水 印 主要 强调 隐蔽 性 和 和 鲁 棒 性 ， 而 对 数据 
量 的 要 求 相对 较 小 。 

@ 算 改 提示 水 印 。 算 改 提示 水 印 是 一 种 脆弱 水 印 , 其 目的 是 标识 宿主 信号 的 完整 性 
和 真实 性 。 

图 隐蔽 标识 水 印 。 隐蔽 标识 水 印 的 目的 是 将 保密 数据 的 重要 标注 隐藏 起 来 , 限制 非 
法 用 户 对 保密 数据 的 使 用 。 

(6) 按 水 印 隐藏 的 位 置 划分 。 按 数字 水 印 的 隐藏 位 置 ， 可 以 将 其 划分 为 时 〈 空 ) 域 
数字 水 印 、 频 域 数字 水 印 、 时 / 频 域 数字 水 印 和 时 间 / 尺 度 域 数 字 水 印 。 时 〈 空 ， 域 数字 
水 印 是 直接 在 信号 空间 上 倒 加 水 印信 息 ， 而 频 域 数字 水 印 、 时 / 频 域 数字 水 印 和 时 间 / 尺 
度 域 数字 水 印 则 分 别 是 在 DCT 变换 域 、 时 / 频 变 换 域 和 小 波 变换 域 上 隐藏 水 印 。 

随 着 数字 水 印 技术 的 发 展 ， 各 种 水 印 算法 层出不穷 ,水印 的 隐藏 位 置 也 不 再 局 限于 
上 述 4 种 。 应 该 说 ， 只 要 构成 一 种 信号 变换 ， 就 有 可 能 在 其 变换 空间 上 隐藏 水 印 。 


4.10.6.3 ”数字 水 印 的 应 用 


数字 水 印 作为 电子 印章 的 重要 技术 之 一 ， 可 以 应 用 于 不 同 的 领域 。 

1) 数字 作品 的 知识 产权 保护 

数字 作品 (如 电脑 美术 、 扫 描 图 像 、 数 字音 乐 、 视 频 和 三 维 动画 的 版 权 保 护 是 当 
前 的 热点 问题 。 由 于 数字 作品 的 复制 、 修 改 非常 容易 ， 而 且 可 以 做 到 与 原作 完全 相同 ， 
所 以 原创 者 不 得 不 采用 一 些 严 重 损害 作品 质量 的 办 法 来 加 上 版 权 标志 ， 而 这 种 明显 可 见 
的 标志 很 容易 被 算 改 。 

“数字 水 印 ” 利 用 数据 隐藏 原理 使 版 权 标志 不 可 见 或 不 可 听 ， 既 不 损害 原作 品 ， 又 达 
到 了 版 权 保护 的 目的 。 目前 , 用 于 版 权 保护 的 数字 水 印 技术 已 经 进入 了 初步 实用 化 阶段 ， 
IBM 公司 在 其 “数字 图 书馆 ”软件 中 就 提供 了 数字 水 印 功能 ，Adobe 公司 也 在 其 著名 的 
Photoshop 软件 中 集成 了 Digimarc 公司 的 数字 水 印 插件 。 

2) 商务 交易 中 的 票据 防伪 

随 着 高 质量 图 像 输入 输出 设备 的 发 展 ， 特 别 是 精度 超过 1200dpi 的 彩色 喷 墨 、 激 光 
打印 机 和 高 精度 彩色 复印 机 的 出 现 , 使 得 货币 、 支 票 以 及 其 他 票据 的 伪造 变 得 更 加 容易 。 

据 美国 官方 报道 ， 仅 在 1997 年 截获 的 价值 4000 万 美元 的 假 钞 中 ， 用 高 精度 彩色 打 
印 机 制造 的 小 面额 假 钞 就 占 19% ， 这 个 数字 是 1995 年 的 9.05 倍 。 目 前 ， 美 国 、 日 本 以 
及 荷兰 都 已 开始 研究 用 于 票据 防伪 的 数字 水 印 技 术 。 其 中 ， 麻 省 理工 学 院 媒体 实验 室 受 
美国 财政 部 委托 ， 已 经 开始 研究 在 彩色 打印 机 、 复 印 机 输出 的 每 幅 图 像 中 加 入 唯一 的 、 
不 可 见 的 数字 水 印 , 在 需要 时 可 以 实时 地 从 扫描 票据 中 判断 水 印 的 有 无 , 快速 辨识 真 伪 。 

另 一 方面 , 在 从 传统 商务 向 电子 商务 转化 的 过 程 中 , 会 出 现 大 量 过 渡 性 的 电子 文件 ， 
如 各 种 纸 质 票据 的 扫描 图 像 等 。 即 使 在 网 络 安全 技术 成 熟 以 后 ， 各 种 电子 票据 也 还 需要 
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一 些 非 密码 的 认证 方式 。 数 字 水 印 技术 可 以 为 各 种 票据 提供 不 可 见 的 认证 标志 ， 从 而 大 
大 增加 了 伪造 的 难度 。 

3) 声 像 数据 的 隐藏 标识 和 篡改 提示 

数据 的 标识 信息 往往 比 数据 本 身 更 具有 保密 价值 ， 如 遥感 图 像 的 拍摄 日 期 、 经 /纬度 
等 。 没 有 标识 信息 的 数据 有 时 甚至 无 法 使 用 ， 但 直接 将 这 些 重要 信息 标记 在 原始 文件 上 
又 很 危险 。 数 字 水 印 技术 提供 了 一 种 隐藏 标识 的 方法 ， 标 识 信息 在 原始 文件 上 是 看 不 到 
的 ， 只 有 通过 特殊 的 阅读 程序 才 可 以 读 取 。 这 种 方法 已 经 被 国外 一 些 公 开 的 遥感 图 像 数 
据 库 所 采用 。 

此 外 ， 数 据 的 自 改 提示 也 是 一 项 很 重要 的 工作 。 现 有 的 信号 拼接 和 镶嵌 技术 可 以 做 
到 “移花接木 ”而 不 为 人 知 ， 因 此 ， 如 何 防范 对 图 像 、 录 音 、 录 像 数 据 的 算 改 攻击 是 重 
要 的 研究 课题 。 基 于 数字 水 印 的 算 改 提示 是 解决 这 一 问题 的 理想 技术 途径 ， 通 过 隐藏 水 
印 的 状态 可 以 判断 声 像 信号 是 否 被 算 改 。 

4) 隐蔽 通信 及 其 对 抗 

数字 水 印 所 依赖 的 信息 隐藏 技术 不 仅 提供 了 非 密 码 的 安全 途径 ， 更 引发 了 信息 战 万 
其 是 网 络 情报 战 的 革命 ， 产 生 了 一 系列 新 颖 的 作战 方式 ， 引 起 了 许多 国家 的 重视 。 

网 络 情报 战 是 信息 战 的 重要 组 成 部 分 ， 其 核心 内 容 是 利用 公用 网 络 进行 保密 数据 传 
送 。 迄 今 为 止 ， 学 术 界 在 这 方面 的 研究 思路 一 直 未 能 突破 “文件 加 密 ” 的 思维 模式 ， 然 
而 ， 经 过 加 密 的 文件 往往 是 混乱 无 序 的 ， 容 易 引 起 攻击 者 的 注意 。 网 络 多 媒体 技术 的 广 
泛 应 用 使 得 利用 公用 网 络 进行 保密 通信 有 了 新 的 思路 ， 利 用 数字 化 声 像 信号 相对 于 人 的 
视觉 、 听 觉 元 余 ， 可 以 进行 各 种 时 《〈 空 ) 域 和 变换 域 的 信息 隐藏 ， 从 而 实现 隐蔽 通信 。 


4.10.7” 密 钥 管理 


4.10.7.1 ” 密 钥 生 成 


密 钥 在 概念 上 被 分 成 两 大 类 : 数据 加 密 密 钥 CDK) 和 密 钥 加 密 密 钥 (KK)。 前 者 直 
接 对 数据 进行 操作 ， 后 者 用 于 保护 密 钥 ， 使 之 通过 加 密 而 安全 传递 。 现 实 世界 中 ， 密 钥 
管理 是 最 困难 的 安全 性 问题 。 设 计 安 全 的 密码 算法 和 协议 并 非 易 事 ， 但 是 保证 密 钥 的 安 
全 却 更 为 困难 。 密 钥 技术 的 核心 内 容 是 利用 加 密 手 段 对 大 量 数据 的 保护 归结 为 对 若干 核 
心 参量 密 钥 的 保护 。 密 钥 管理 的 任务 综合 了 密 钥 的 设置 、 产 生 、 分 配 、 注 入 、 存 储 、 传 
送 、 使 用 、 注 销 和 提取 等 一 系列 问题 ， 它 是 信息 安全 的 关键 环节 。 

算法 的 安全 性 在 于 密 钥 。 如 果 密 钥 由 脆弱 的 密码 程序 生成 ， 那 么 整个 系统 都 将 处 于 
极其 脆弱 的 环境 中 ， 当 攻击 者 能 够 分 析 密 钥 生 成 算法 时 ， 也 就 无 须 分 析 密码 算法 了 。 

密 钥 生成 需要 考虑 如 下 三 个 方面 的 因素 。 

1) 增 大 密 钥 空 间 

一 个 密码 算法 的 密 钥 若 设 为 N 位 ， 那 么 该 密 钥 空间 为 2N 个 。 显 然 ， 若 某 加 密 程 序 
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限制 了 密 钥 的 位 数 ， 那 么 密 钥 空间 随 之 减 小 ， 特 别 是 当 密 钥 生 成 程序 比较 脆弱 ， 将 导致 
密 钥 能 够 轻易 被 破译 。 例 如 ， 采 用 各 种 专用 蛮 力 攻击 硬件 和 并 行 技 术 ， 无 论 是 对 于 一 台 
机 器 甚至 是 多 台 机 器 并 行 处 理 ， 只 要 每 秒 测试 100 万 个 密 钥 ， 破 译 8 字 节 以 下 小 写字 母 
和 小 写字 母 与 数字 构成 的 密 钥 、7 字 节 以 下 字母 数字 密 钥 、6 字 节 以 下 可 打印 字母 密 钥 和 
ASCII 字符 密 钥 以 及 5 字 节 以 下 8 位 的 ASCII 字符 密 钥 都 是 可 以 的 。 另 外 ， 随 着 计算 机 
设备 的 不 断 改 进 ， 对 破译 的 时 间 和 条 件 要 求 也 越 来 越 少 。 

但 是 反 过 来 想 ， 只 要 我 们 加 长 密 钥 位 数 ， 增 大 密 钥 空间 ， 对 阻止 攻击 是 很 有 帮助 的 。 
例如 ， 采 用 穷 举 搜索 所 有 密 钥 的 时 间 ， 对 于 8 位 ASCI 字符 (256 个 ) 在 4 字 节 密 钥 空 
间 下 只 需要 1.2 小 时 ， 在 6 字 节 密 钥 空间 下 需要 8.9 年 ， 而 在 8 字 节 情况 下 需要 580 000 
年 。 这 明显 增加 了 攻击 的 难度 。 

2) 选择 强 钥 

在 实际 应 用 中 ， 人 们 为 了 能 方便 记忆 ， 人 往往 选择 较 弱 的 密 钥 ， 如 选择 Klone， 而 不 
是 “*9 (ChHWA-”。 简 单 的 密 钥 方便 了 人 们 的 记忆 ， 也 方便 了 攻击 者 的 测试 。 对 于 公 钥 算 
法 ， 不 同 的 算法 对 强 钥 的 选择 也 有 不 同 的 规定 。 

3) 密 钥 的 随机 性 

好 的 生成 密 钥 是 一 个 随机 位 串 。 会 话 密 钥 的 产生 ， 用 随机 数 作为 会 话 密 钥 ， 公 钥 密 
码 算法 也 采用 随机 数 作为 密 钥 。 密 钥 位 可 从 可 靠 的 随机 源 获 得 , 如 一 些 物理 噪声 产生 器 、 
离子 辐射 脉冲 检测 器 、 气 体 放 电 关 和 漏电 容 等 ， 也 可 从 安全 的 伪 随 机 数 发 生 器 借助 于 安 
全 的 密码 算法 来 产生 ， 只 要 设计 得 好 ， 能 通过 各 种 随机 性 检验 就 具有 伪 随 机 性 。 

随机 数 序列 需 满足 随机 性 和 不 可 预测 性 的 要 求 。 首 先 ， 均 匀 分 布 和 独立 性 可 以 用 来 
保证 随机 数 的 随机 性 ， 数 列 中 每 个 数 的 出 现 频 率 应 基本 相等 且 均 不 能 由 其 他 数 推出 。 在 
设计 密码 算法 时 , 经 常会 使 用 一 种 称 为 伪 随 机 数列 的 数列 。 例 如， 在 RSA 算法 中 素数 的 
产生 。 一般 情况 下 ， 决 定 一 个 大 数 N 是 否 为 素数 是 很 困难 的 。 最 原始 的 方法 就 是 用 每 个 


比 N 的 二 小 的 数 去 除 N， 如果 N 很 大 ， 比 如 10 160， 这 一 方法 则 超出 人 类 的 分 析 能 力 和 


计算 能 力 。 另 外 ， 在 相互 认证 和 会 话 密 钥 的 产生 等 应 用 中 ， 更 要 求 数列 中 以 后 的 数 是 不 
可 预测 的 。 


4.10.7.2 ”对 称 密 钥 分 配 


密 钥 分 配 一 般 要 解决 两 个 问题 : 一 是 引进 自动 分 配 密 钥 机 制 ， 以 提高 系统 的 效率 ; 
二 是 尽 可 能 减少 系统 中 驻 留 的 密 钥 量 。 这 两 个 问题 也 可 以 同步 解决 。 

1) 密 钥 的 使 用 控制 

两 个 用 户 〈 主 机 、 进 程 、 应 用 程序 ) 在 进行 保密 通信 时 ， 必 须 拥 有 一 个 共享 的 并 且 
经 常 更 新 的 秘密 密 钥 。 密 钥 的 分 配 技术 从 一 定 程度 上 决定 着 密码 系统 的 强度 。 

控制 密 钥 的 安全 性 主要 有 以 下 两 种 技术 。 
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(1) 密 钥 标 签 。 例 如 用 于 DES 的 密 钥 控制 ， 将 DES 中 的 8 个 校 验 位 作为 控制 这 个 
密 钥 的 标签 ， 其 中 前 三 位 分 别 代表 了 该 密 钥 的 不 同 信息 : 主 /会 话 密 钥 、 加 密 和 解密 。 但 
是 长 度 过 于 限制 ， 且 须 经 解密 方 能 使 用 ， 带 来 了 一 定 的 不 便 性 。 

(2) 控制 矢量 。 被 分 配 的 若干 字段 分 别 说 明 不 同情 况 下 密 钥 是 被 允许 使 用 或 者 不 多 
许 ， 且 长 度 可 变 。 它 在 密 钥 分 配 中 心 (Key Distribution Center，KDC) 产生 密 钥 时 加 在 
密 钥 之 中 : 首先 由 一 杂 凌 函数 将 控制 矢量 压缩 到 加 密 密 钥 等 长 ， 然 后 与 主 密 钥 异 或 后 作 
为 加 密会 话 密 钥 的 密 钥 ， 即 
H=h (CV) 
Kin= Km XORH 
Kou = Egm xor [Ks] 
其 恢复 过 程 为 Ks = Di xor a [Exm xor n[Ks]]。 
用 户 只 有 使 用 与 KDC 共享 的 主 密 钥 以 及 KDC 发 送 过 来 的 控制 矢量 才能 恢复 会 话 密 
因此 ， 须 保证 保留 会 话 密 钥 和 他 控制 矢量 之 间 的 对 应 关系 。 
2) 密 钥 的 分 配 
两 个 用 户 A 和 B 在 获得 共享 密 钥 时 可 以 有 4 种 方式 。 
(1) 经 过 A 选取 的 密 钥 通过 物理 手段 发 送 给 另 一 方 B。 
(2) 由 第 三 方 选 取 密 钥 ， 再 通过 物理 手段 分 别 发 送 给 A 和 B。 
(3) A、B 事先 已 有 一 密 钥 ， 其 中 一 方 选取 新 密 钥 后 ， 用 已 有 密 钥 加 密 该 新 密 钥 后 
发 送 给 另 一 方 。 

(4) A、B、C 三 方 各 有 一 保密 信道 ，C 选取 密 钥 后 ， 分 别 通 过 A、B 各 自 的 保密 信 
道 发 送 。 

前 两 种 方法 称 为 人 工 发 送 。 若 网 络 中 YX 个 用 户 都 要 求 支持 加 密 服务 ， 则 任意 一 对 希 
望 通信 的 用 户 各 需要 一 个 共享 密 钥 ， 这 导致 密 钥 数 目 多 达 N (MX-1) /2。 第 三 种 方法 ， 攻 
击 者 一 旦 获得 一 个 密 钥 就 可 获取 以 后 所 有 的 密 钥 ， 这 就 给 安全 性 带 来 隐患 。 这 三 种 方法 
的 公共 弱点 在 于 当 V 很 大 时 ， 密 钥 的 分 配 代价 也 变 得 非常 大 。 但 是 ， 这 种 无 中 心 的 密 钥 
控制 技术 在 整个 网 络 的 局 部 范围 内 却 显得 非常 有 用 。 如 图 4-119 所 示 ，N 表示 随机 数 。 


(D reguest| Ni 
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三 


4-119 无 KDC 的 密 钥 分 配 
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第 四 种 方法 是 较 常用 的 。 第 三 方 C 是 为 用 户 分 配 密 钥 的 KDC， 每 个 用 户 和 KDC 有 
一 个 共享 密 钥 ， 即 主 密 钥 。 主 密 钥 再 分 配给 每 对 用 户 会 话 密 钥 , 用 于 用 户 间 的 保密 通信 。 
会 话 密 钥 在 通信 结束 后 立即 销毁 。 虽 然 此 种 方法 的 会 话 密 钥 数目 是 W (MX-1) /2, 但 是 主 
密 钥 的 数目 却 只 需要 N 个 ， 可 以 通过 物理 手段 进行 发 送 。 如 图 4-120 所 示 ，N 表示 随机 
数 ，K, 表 示 会 话 密 钥 。 


WW request ll™, © Ex [Ks | reguest | Nil| Ex, (Ks ID1) 
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图 Er[N:] 
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图 4-120 有 KDC 的 密 钥 分 配 


由 于 网 络 中 用 户 数目 非常 多 并 且 地 域 分 布 非常 广泛 ， 因 此 有 时 需要 使 用 多 个 KDC 
的 分 层 结构 。 可 在 每 个 小 范围 (如 一 个 LAN 或 一 个 建筑 物 ) 内 建立 本 地 KDC， 不 同 范 
围 的 两 个 本 地 间 可 再 用 一 个 全 局 KDC 连接 。 这样 建立 的 两 层 KDC 不 但 减少 了 主 密 钥 的 
分 布 ， 更 可 以 将 虚假 的 KDC 的 危害 限制 到 一 个 局 部 的 区 域 。 

另外 ， 应 注意 会 话 密 钥 有 效 期 的 设置 。 会 话 密 钥 更 换 得 越 频繁 ， 系 统 的 安全 性 也 就 
越 高 。 但 是 另 一 方面 ， 频 繁 更 换 会 话 密 钥 会 造成 网 络 负担 ， 延 迟 用 户 之 间 的 交换 。 因 此 
在 决定 其 有 效 期 时 ， 应 权衡 矛盾 的 两 个 方面 。 


4.10.7.3 ” 公 钥 加 密 体制 的 密 钥 管 理 


公 钥 密码 体制 采用 的 是 公开 加 密 密 钥 ， 而 解密 密 钥 只 有 通信 双方 通过 某 些 途径 才能 
得 知 。 

(1) 公开 发 布 。 公 开发 布 是 指 用 户 将 自己 的 公 钥 发 给 每 一 个 其 他 用 户 ， 或 向 某 一 团 
体 广 播 。 这 种 方法 虽然 简单 , 但 有 一 个 非常 大 的 缺点 : 任何 人 都 可 以 伪造 这 种 公开 发 布 。 
如 果 某 个 用 户 假装 是 用 户 A 并 以 A 的 名 义 向 另 一 个 用 户 发 送 或 广播 自己 的 公开 钥 , 则 在 
人 A 发 现 假冒 者 以 前 ， 这 一 假冒 者 可 解读 所 有 发 向 A 的 加 密 消息 ， 甚 至 还 能 用 伪造 的 密 钥 
获得 认证 。 

PGP (pretty good privacy) 中 采用 RSA 算法 ， 很 多 用 户 就 可 将 自己 的 公 钥 附加 到 消 
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息 上 ， 发 送 到 公开 区 域 。 

(2) 公用 目录 表 。 公 用 目录 表 是 指 一 个 公用 的 公 钥 动态 目录 表 ， 由 某 个 可 信 的 实体 
或 组 织 ( 公 用 目录 的 管理 员 〉 承担 该 公用 目录 表 的 建立 、 维 护 以 及 公 钥 的 分 布 等 。 管 理 
员 为 每 个 用 户 在 目录 表 中 建立 一 个 目录 ， 其 中 包括 用 户 名 和 用 户 的 公开 钥 两 个 数据 项 ， 
并 且 定 期 公布 和 更 新 目录 表 。 每 个 用 户 都 亲自 或 以 某 种 安全 的 认证 通信 在 管理 者 那里 注 
册 自 己 的 公开 钥 ， 可 通过 电子 手段 访问 目录 表 ， 还 可 随时 蔡 换 新 密 钥 。 但 是 ， 这 种 公用 
目录 表 的 管理 员 秘 密 钥 一 旦 被 攻击 者 获取 ， 同 样 面临 被 假冒 的 危险 。 

(3) 公 钥 管理 机 构 。 与 公用 目录 表 类 似 ， 用 公 钥 管理 机 构 来 为 各 用 户 建立 、 维 护 
动态 的 公 钥 目录 ， 这 种 对 公 钥 分 配 更 加 严密 的 控制 措施 可 以 增强 其 安全 性 。 特 别 注意 的 
是 ， 每 个 用 户 都 可 靠 地 知道 管理 机 构 的 公开 钥 ， 但 是 只 有 管理 机 构 自 己 知道 相应 的 秘 
密 钥 。 

例如 ， 当 用 户 A 向 公 钥 管理 机 构 发 送 一 个 请 求 时 ， 该 机 构 对 请 求 作出 应 答 ， 并 用 自 
己 的 秘密 钥 SKAU 加 密 后 发 送 给 A，A 再 用 机 构 的 公开 钥 解 密 。 

它 的 缺点 在 于 因为 每 一 个 用 户 要 想 和 他 人 联系 都 需求 助 于 管理 机 构 ， 所 以 容易 使 管 
理 机 构成 为 系统 的 瓶颈 ， 并 且 管 理 机 构 维护 的 公 钥 目录 表 也 容易 被 敌手 窗 扰 。 

(4) 公 钥 证 书 。 公 和 钥 证 书 可 以 从 一 定 程度 上 解决 以 上 策略 存在 的 一 些 不 足 之 处 。 公 
钥 证 书 是 由 证 书 管理 机 构 为 用 户 建立 的 ， 其 中 的 数据 项 有 与 该 用 户 的 秘密 钥 相 匹配 的 公 
开 钥 及 用 户 的 身份 和 时 戳 等 ， 所 有 的 数据 项 经 CA 用 自己 的 秘密 钥 签 字 后 就 形成 证 书 ， 
即 证 书 的 形式 为 CA=ESKCA[T，IDA，PKA]。 工 是 当前 的 时 惟 ，IDA 是 用 户 A 的 身份 ， 
PKA 是 A 的 公 钥 ，SKCA 是 CA 的 秘密 钥 ，CA 则 是 用 户 A 产生 的 证 书 。 

用 户 将 自己 的 公开 钥 通 过 公 钥 证 书 发 给 另 一 个 用 户 ， 而 接收 方 则 可 用 CA 的 公 钥 
PKCA 对 证 书 加 以 验证 。 这 样 ， 通 过 证 书 交 换 用 户 之 间 的 公 钥 而 无 须 再 与 公 钥 管理 机 构 
联系 ， 从 而 避免 了 由 统一 机 构 管理 所 带 来 的 不 便 和 安全 隐患 。 


4.10.7.4 ” 公 钥 加 密 分 配 单 钥 密码 体制 的 密 钥 


公开 钥 分 配 完 之 后 ， 用 户 可 用 公 钥 加 密 体制 进行 保密 通信 。 但 是 ， 这 种 加 密 体制 的 
加 密 速 度 比 较 慢 ， 因 此 比较 适合 于 单 钥 密码 体制 的 密 钥 分 配 ， 如 图 4-121 所 示 。 
© Brem[N || ID] 
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4-121 密 钥 分 配 
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假定 A、B 双方 用 户 已 完成 公 钥 交换 ， 则 可 利用 公 钥 加 密 体 制 按照 如 上 步骤 建立 共 
享 会 话 密 钥 。 

(1) A 将 用 B 的 公 钥 加 密 得 到 的 身份 Ds 和 一 个 用 于 唯一 标志 这 个 业务 的 一 次 性 
随机 数 Ni 发 往 B。 

(2) 预 使 A 确定 对 方 是 B， 则 B 用 A 的 公 钥 加 密 Ni 和 另 一 新 产生 的 随机 数 NN;， 
为 只 有 B 能 解读 (1) 中 的 加 密 。 

(3) A 用 B 的 公 钥 PKs 对 Nm 加 密 后 返回 给 B， 以 使 B 相信 对 方 确 是 A。 

(4) A 将 M= FEpxs[Esxs[Ks]] 发 送 给 B， 其 中 及 s 为 会 话 密 铀 ， 用 B 的 公开 钥 加 密 是 
为 保证 只 有 B 能 解读 加 密 结果 ， 用 A 的 秘密 钥 加 密 是 保证 该 加 密 结果 只 有 A 能 发 送 。 

(5) B 以 Dpps[Dsxrs[M1] 恢复 会 话 密 钥 。 

这 种 分 配 过 程 的 保密 性 和 认证 性 均 非 常 强 , 既 可 防止 被 动 攻 击 , 又 可 防止 主动 攻击 。 


4.11 ”网络 安全 应 用 协议 


4.11.1 SSL 协议 


4.11.1.1 SSL 协议 概述 


SSL 协议 是 网 景 公司 提出 的 基于 Web 应 用 的 安全 协议 。SSL 协议 指定 了 一 种 在 应 用 
层 协议 和 TCP/IP 协议 之 间 提 供 数 据 安全 性 分 层 的 机 制 , 它 为 TCP/IP 连接 提供 数据 加 密 、 
服务 器 认证 、 消 息 完整 性 以 及 可 选 的 客户 机 认证 ， 可 以 在 两 个 通信 应 用 程序 之 间 提 供 数 
据 的 加 密 性 和 可 靠 性 。SSL 能 在 TCP/IP 和 应 用 层 间 无 颖 实现 ntemet 协议 栈 处理 ， 而 不 
对 其 他 协议 层 产 生 任何 影响 。 

1995 年 ，Netscape 公司 提出 了 SSL 2.0 之 后 ， 很 快 就 成 为 一 个 事实 上 的 标准 ， 并 被 
众多 的 厂商 所 采用 。1996 年 ，Netscape 公司 发 布 了 SSL 3.0， 该 版 本 增加 了 对 除了 RSA 
算法 之 外 的 其 他 算法 的 支持 和 一 些 安全 特性 ， 并 且 修 改 了 前 一 个 版 本 中 一 些小 的 问题 ， 
相 比 SSL 2.0 更 加 成 熟 和 稳定 。1999 年 1 月 ，IETF (www.ietf.org) 将 SSL 作 了 标准 化 ， 
即 RFC 2246，Netscape 公司 宣布 支持 该 开放 的 标准 。 在 WAP 的 环境 下 ， 由 于 手机 及 手 
持 设备 的 处 理 和 存储 能 力 有 限 ，wap 论坛 (www.wapforum.org) 在 TLS 的 基础 上 做 了 
WTLS 协议 (Wireless Transport Layer Security)， 以 适应 无 线 的 特殊 环境 。 

SSL 协议 提供 的 安全 连接 具有 以 下 几 个 基本 特性 。 

(1) 连接 安全 。 在 初始 化 握手 结束 后 ，SSL 使 用 加 密 方法 来 协商 一 个 秘密 的 密 钥 ， 
数据 加 密使 用 对 称 密 钥 技术 (如 DES、RC4 等 )。 

(2) 身份 认证 。 可 以 通过 非 对 称 〈 公 钥 ) 加 密 技 术 (如 RSA、DSA 等 ) 认证 对 方 的 
身份 。 

(3) 可 靠 性 连接 。 传输 的 数据 包含 有 数据 完整 性 的 校 验 码 , 使 用 安全 的 哈 希 函数 (如 
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SHA、MD5 等 ) 计算 校 验 码 。 
SSL 协议 主要 包括 记录 协议 、 告 警 协议 和 握手 协议 。 


4.11.1.2 SSL 记录 协议 


SSL 本 身 是 一 个 分 层 协议 ， 每 一 层 的 消息 块 都 包含 有 长 度 、 描 述 和 内 容 。SSL 在 传 
输 前 将 消息 打包 成 消息 块 ， 在 此 过 程 中 可 进行 压缩 、 生 成 MAC 和 加 密 等 。 接 收 方 则 对 
消息 块 进行 解压 、MAC 验证 和 解压 ， 并 进行 重 装配 ， 再 传 给 上 一 层 。 这 些 是 通过 记录 
协议 层 来 规定 的 。SSL 协议 的 记录 协议 层 在 客户 端 和 服务 器 之 间 传 输 应 用 数据 和 SSL 控 
制 数据 ， 即 用 于 交换 应 用 数据 ， 包 括 了 记录 头 和 记录 数据 格式 的 规定 。 在 SSL 协议 中 ， 
所 有 的 传输 数据 都 被 封装 在 记录 中 。 记 录 是 由 记录 头 和 长 度 不 为 0 的 记录 数据 组 成 的 。 
SSL 的 记录 数据 包含 三 个 部 分 : MAC 数据 、 实 际 数据 和 粘贴 数据 。 所 有 的 SSL 通信 和 包 
括 握手 消息 、 安 全 空白 记录 和 应 用 数据 都 使 用 SSL 记录 层 。 应 用 程序 消息 被 分 割 成 可 管 
理 的 数据 块 ， 还 可 以 压缩 ， 并 产生 一 个 MAC (消息 认证 代码 )， 然 后 将 结果 加 密 并 传输 。 
接收 方 接收 数据 并 对 它 解密 ， 校 验 MAC， 解 压 并 重新 组 合 ， 再 把 结果 提供 给 应 用 程序 
协议 。 

SSL 记录 协议 的 操作 过 程 如 图 4-122 所 示 。 


应 用 数据 | DATE 
ri ee 


分 段 /重组 | DATE 1 | DATE2 | 加 DATEN | 


压缩 


计算 MAG 


加 密 


封装 SSL 记 
录 协 议 首都 


图 4-122 ”SSL 记录 协议 的 操作 过 程 


(1) 分 段 。 对 应 用 层 数据 都 要 进行 分 段 ， 使 其 符合 规定 的 长 度 。 
(2) 压缩 。 压 缩 是 可 选 的 ，SSL 没有 指定 压缩 算法 ， 压 缩 必须 是 无 损 的 。 
(3) 给 压缩 后 的 数据 计算 消息 验证 码 。MAC 使 用 下 面 公式 进行 计算 : 


Hash (MAC write secret+pad 2+hash (MAC write secret+pad l+seq num+ 
SsLCompressed.type+SssLCompressed.length+ssLCompressed.fragment)) 
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其 中 各 参数 的 含义 如 下 。 

。 MAC write_ secret: 为 客户 服务 器 共享 的 秘密 。 

。 pad_1: 为 字符 0x36 重复 48 次 (MD5) 或 40 次 (SHA)。 
pad_2: 为 字符 0x5c 重复 48 次 (MD5) 或 40 次 (SHA)。 
seq_num: 为 消息 序列 号 。 

Hash: 为 哈 希 算法 。 

。 SSLCompressed.type: 为 处 理 分 段 的 高 层 协议 类 型 。 

。 SSLCompressed.length: 为 压缩 分 段 的 长 度 。 

。 SSLCompressed.fragment: 为 压缩 分 段 ， 没 有 压缩 时 就 是 明文 分 段 。 
(4) 使 用 对 称 加 密 算法 给 添加 了 MAC 的 压缩 消息 加 密 。 

(5) 添加 SSL 记录 协议 首部 。 


4.11.1.3 ”告警 协议 


告警 协议 用 来 为 对 等 实体 传递 SSL 的 相关 警告 , 用 于 标示 在 什么 时 候 发 生 了 错误 或 
两 个 主机 之 间 的 会 话 在 什么 时 候 终止 。 当 其 他 应 用 协议 使 用 SSL 时 ,根据 当前 的 状态 来 
确定 。 告 警 消息 都 封装 成 8 位 ， 同 时 进行 编码 、 压 缩 和 加 密 。 


4.11.1.4 ”握手 协议 


SSL 握手 协议 是 SSL 中 最 复杂 的 部 分 。SSL 握手 协议 位 于 SSL 记录 协议 层 之 上 , 用 
于 产生 会 话 状态 的 密码 参数 ， 人 允许 服务 器 和 客户 机 相互 验证 、 协 商 加 密 和 MAC 算法 及 
秘密 密 钥 , 用 来 保护 在 SSL 记录 中 传送 的 数据 .握手 协议 是 在 应 用 程序 传输 之 前 使 用 的 。 
当 SSL 客户 端 与 服务 器 第 一 次 开始 通信 时 ， 它 们 要 确认 协议 版 本 的 一 致 性 ， 选 择 加 密 算 
法 和 认证 方式 ， 并 使 用 公 钥 技术 来 生成 共享 密 钥 。 

这 个 过 程 可 以 总 结 如 下 〈 如 图 4-121 所 示 )。 

(1) 客户 方向 服务 方 发 送 一 个 CH (Client Hello) 消息 ， 服 务 方 以 一 个 SH (Server 
Hello) 消息 应 答 ， 和 否则 通信 中 止 。CH 和 SH 包括 协议 版 本 、 会 话 ID、 密 码 配 置 和 压缩 
方法 等 内 容 , 此 外 还 要 交换 两 个 随机 数 , 记 为 ClientHello.random 和 ServerHello.random。 
其 中 ， 密 码 配 置 表明 了 SSL 客户 端 和 SSL 服务 器 都 支持 的 某 个 密码 组 。SSL 3.0 协议 规 
范 定义 了 31 种 密码 配置 ， 配 置 主要 包含 三 个 方面 的 内 容 。 

。 密 钥 交换 方法 (Key Exchange Method)。 

。 数据 传输 加 密 算法 (Cipher for Data Transfer)。 

。 计算 消息 认证 码 的 消息 摘要 方法 (Message Digest for Creating the MAC)。 

(2) 若 应 用 层 需 要 对 服务 方 进行 认证 ， 服 务 方 将 发 送 它 的 证 书 ， 若 服务 方 无 证 书 或 
其 证 书 只 做 签名 用 ， 服 务 方 可 发 送 一 个 SKE 〈Server Key Exchang) 消息 ， 以 进行 密 钥 
交换 。 
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(3) 服务 方向 客户 方 请 求 一 个 与 其 密码 配置 相 匹配 的 客户 方 证 书 。 

(4) 以 上 工作 完成 ， 服 务 方 可 发 送 SHD 〈Server Hello Done) 消息 ， 标 志 着 问候 结 
束 。 服 务 器 进入 等 待 客户 方 响应 状态 。 

(5) 客户 方 在 收 到 服务 方 的 请 求证 书 的 消息 之 后 ， 应 响应 一 条 包含 证 书 的 消息 ， 若 
无 证 书 ， 将 响应 一 条 无 证 书 提示 的 警告 。 然 后 发 送 CKE (Client Key Exchange) 消息 ， 
消息 内 容 是 基于 双方 认可 的 公 钥 算法 。 

(6) 若 客户 方 发 送 了 含 签名 功能 的 证 书 ， 则 还 需 发 送 一 条 DSCV (Digitally-Signed 
Certificate Verify) 消息 ， 以 告知 服务 方 对 证 书 进行 验证 。 

(7) 客户 方 发 送 一 条 CCS (Change Cipher Spec) 消息 ， 确 认 密 码 配置 将 进行 更 新 ， 
并 更 新 会 话 的 密码 配置 ， 然 后 用 新 的 算法 和 密 钥 发 送 一 条 CHF (Client HandShaking 
Finished) 消息 ， 表 明 握手 结束 。 

(8) 服务 方 作为 回应 ， 也 发 送 一 条 CCS (Change Cipher Spec) 消息 ， 并 更 新 会 话 的 
密码 配置 ， 然 后 用 新 的 算法 和 密 钥 发 送 一 条 SHF (Server HandShaking Finished) 消息 ， 
表明 握手 过 程 结束 。 至 此 ， 整 个 握手 过 程 结束 ， 客 户 方 和 服务 方 开始 交换 应 用 层 数据 。 

在 以 上 的 过 程 中 ， 有 些 消息 的 发 送 是 可 选 的 。 图 4-123 表明 了 整个 握手 的 流程 ， 其 
中 消息 名 称 之 后 带 “* ”号 的 是 可 选 的 。 


客户 方 服务 方 
CH 消息 
SH 消息 
服务 方 证 书 * 
客户 方 证 书 请 求 消息 * 
SKE 消息 * 
客户 方 证 书 * 
CKE 消息 
DSCYV 消息 * 
CCS 消息 
CHF 消息 
CCS 消息 
SHF 消息 
应 用 层 数据 一 一 一 一 一 ”| 应 用 层 数 据 


4-123 ”SSL 握手 协议 
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4.11.2 SET 协议 


4.11.2.1 SET 协议 概述 


1995 年 ， 包 括 MasterCard、IBM 和 Netscape 在 内 的 联盟 开始 着 手 进行 安全 电子 支付 
协议 (SEPP) 的 开发 ，VISA 和 微软 组 成 的 联盟 开始 开发 安全 交易 技术 (STT)。 由 于 两 大 
信用 卡 组 织 MasterCard 和 VISA 分 别 支持 独立 的 网 络 支付 解决 方案 , 影响 了 网 络 支 付 的 发 
展 。1996 年 ， 这 些 公司 宣 布 它们 将 联合 开发 一 种 统一 的 标准 ， 叫 安全 电子 交易 (SET)。 
1997 年 5 月 ，SET 协议 由 VISA 和 MasterCard 两 大 信用 卡 公司 联合 推出 ， 在 Intemet 支 
付 产业 中 许多 重要 的 组 织 ， 如 IBM、HP、Microsoft、Netscape、GTE 和 Verisign 等 都 声 
明 支 持 SET。SET 协议 已 获得 IETF 标准 认可 ， 已 成 为 事实 上 的 工业 标准 。SET 主要 由 
SET 业务 描述 、SET 程序 员 指南 和 SET 协议 描述 三 个 文件 组 成 。 

SET 主要 是 为 了 解决 用 户 、 商 家 和 银行 之 间 通 过 信用 卡 支付 的 交易 而 设计 的 ， 以 保 
证 支付 信息 的 机 密 、 支 付 过 程 的 完整 、 商 户 及 持 卡 人 的 合法 身份 以 及 可 操作 性 。SET 非 
常 详细 而 准确 地 反映 了 交易 各 方 之 间 存 在 的 各 种 关系 。 它 定义 了 加 密 信息 的 格式 和 付款 
支付 交易 过 程 中 各 方 传输 信息 的 规则 。SET 提供 了 持 卡 人 、 商 家 和 银行 之 间 的 认证 ， 确 
保 了 网 上 交易 数据 的 机 密 性 、 数 据 的 完整 性 及 交易 的 不 可 抵赖 性 。 


4.11.2.2 ”SET 协议 的 参与 者 


在 SET 协议 系统 中 ， 包 括 如 下 交易 的 参与 者 。 

(1) 持 卡 人 《Cardholder): 在 电子 商务 环境 中 ， 持 卡 人 通过 计算 机 和 网 络 访问 电子 
商家 ， 购 买 商品 。 为 了 在 电子 商务 环境 中 安全 地 进行 支付 操作 ， 持 卡 人 需要 安装 一 套 基 
于 SET 标准 的 软件 (通常 嵌入 在 浏览 器 中 )， 并 使 用 由 发 卡 行 发 行 的 支付 卡 ， 而 且 需 要 
从 认证 中 心 获取 自己 的 数字 签名 证 书 。 

(2) 商家 (Merchant): 在 电子 商务 环境 中 ， 商 家 通过 自己 的 网 站 向 客户 提供 商品 和 
服务 。 同 时 ， 商 家 必须 与 相关 的 收 单行 达成 协议 ， 保 证 可 以 接受 信用 卡 的 支付 。 而 且 商 
家 也 需要 从 认证 中 心 获取 相应 的 数字 证 书 〈 包 括 签名 证 书 和 交换 密 钥 证 书 )。 

(3) 发 卡 行 〈Issuer): 发 卡 行为 每 一 个 持 卡 人 建立 一 个 账户 ， 并 发 放 支付 卡 。 一 个 
发 卡 行 必须 保证 对 经 过 授权 的 交易 进行 付款 。 

(4) 收 单行 (Acquirer): 收 单行 为 每 一 个 网 上 商家 建立 一 个 账户 ， 且 处 理 付款 授权 
和 付款 结算 等 。 收 单行 不 属于 安全 电子 商务 的 直接 组 成 部 分 ， 但 它 是 授权 交易 与 付款 结 
算 操 作 的 主要 参与 者 。 

(5) 支付 网 关 〈Payment Gateway): 是 指 收 单行 或 指定 的 第 三 方 运行 的 一 套 设 备 。 
它 负责 处 理 支付 卡 的 授权 和 支付 。 同 时 ， 它 要 能 够 同 收 单行 的 交易 处 理 主机 通信 ， 还 需 
要 从 认证 中 心 获 取 相 应 的 数字 证 书 〈 包 括 签名 证 书 和 交换 密 钥 证 书 )。 
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(6) 品牌 (Brand): 通常 金融 机 构 需要 建立 不 同 的 支付 卡 品牌 ， 每 种 支付 卡 品 牌 都 
有 不 同 的 规则 ， 支 付 卡 品牌 将 确定 发 卡 行 、 收 单行 与 持 卡 人 和 商家 之 间 的 关系 。 

(7) 认证 中 心 〈Certifieate Authority): 负责 颁发 和 撤销 持 卡 人 、 商 家 和 支付 网 关 的 
数字 证 书 。 同 时 ， 它 还 要 向 商家 和 支付 网 关 颁 发 交换 密 钥 证 书 ， 以 便 在 支付 过 程 中 交换 
会 话 密 钥 。 

在 实际 的 系统 中 ， 发 卡 行 和 收 单行 可 以 由 同一 家 银行 担当 ， 支 付 网 关 也 可 由 该 银行 
来 运行 ， 这 些 需 要 根据 具体 的 情况 来 决定 。 


4.11.2.3 SET 协议 的 安全 机 制 


SET 协议 同时 是 PKI 框架 下 的 一 个 典型 实现 。 安 全 核心 技术 主要 有 公开 密 钥 加 密 、 
数字 签名 、 数 字 信封 、 消 息 摘 要 和 数字 证 书 等 ， 主 要 应 用 于 B2C 模式 中 保障 支付 信息 的 
安全 性 。 任 何 一 个 信任 CA 的 通信 方 ， 都 可 以 通过 验证 对 方 数字 证 书 上 的 CA 数字 签名 
来 建立 起 与 对 方 的 信任 关系 , 并 且 获 得 对 方 的 公 钥 。 为 了 保证 CA 所 签发 证 书 的 通用 性 ， 
通常 证 书 格式 遵守 ITU X.509 标准 。 

根据 SET 标准 ， 对 证 书 通过 信任 级 联 关系 用 分 层 结构 进行 管理 。SET 定义 了 一 套 完 
备 的 证 书信 任 链 ， 每 个 证 书 连接 一 个 实体 的 数字 签名 证 书 。 沿 着 信任 树 可 以 到 一 个 众 所 
周知 的 信任 机 构 ， 用 户 可 以 确认 证 书 的 有 效 性 。 对 于 所 有 使 用 SET 的 实体 来 说 ， 只 有 唯 
一 的 根 CA。 图 4-124 描述 了 这 种 信任 层次 。 在 SET 中 ， 用 户 对 根 节 点 的 证 书 是 无 条 件 
信任 的 ， 如 果 从 证 书 所 对 应 的 节点 出 发 沿 着 信任 树 逐 级 验证 证 书 的 数字 签名 ， 若 能 够 到 
达 一 个 已 知 的 信任 方 所 对 应 的 节点 或 根 节点 ， 就 能 确认 该 证 书 是 有 效 的 。 换 而 言 之 ， 信 
任 关系 是 从 根 节 点 到 树叶 传播 的 。 根 密 钥 (RootKey) 由 CA 自己 签名 发 布 ， 而 根 密 钥 
证 书 由 软件 开发 商 插 入 他 们 的 软件 中 。 软 件 通过 向 CA 发 出 一 个 初始 化 请 求 〈 包 括 证 书 
的 Hash 值 )， 可 以 确定 一 个 根 密 钥 的 有 效 性 。 根 密 钥 也 需 定期 更 换 。 为 了 保证 根 证 书 的 
真实 性 ， 根 证 书 和 下 一 次 替换 密 钥 的 公 钥 的 散 列 值 一 起 颁发 。 在 根 证 书 被 新 的 证 书 替 代 
时 ， 可 通过 验证 证 书 中 公 钥 的 散 列 值 与 最 近 的 旧 证 书 一 起 颁发 的 散 列 值 是 否 相同 来 对 新 
证 书 的 真实 性 进行 验证 。 

持 卡 人 证 书 、 商 户 证 书 和 支付 网 关 证 书 分 别 由 持 卡 人 认证 中 心 CCA)、 商 户 认证 
中 心 (MCA) 和 支付 网 关 认证 中 心 (PCA) 进行 颁发 ， 而 CCA 证 书 、MCA 证 书 和 PCA 
证 书 则 由 品牌 认证 中 心 (BCA) 或 区 域 性 认证 中 心 (GCA) 进行 颁发 。BCA 的 证 书 由 根 
认证 中 心 (RCA) 进行 颁发 。 

(1) 持 卡 人 证 书 (Cardholder CertifiCates): 相当 于 支付 卡 的 电子 表示 ， 它 可 以 由 付 
款 银行 数字 签名 后 发 放 。 由 于 证 书 的 签名 私 钥 仅 为 付款 银行 所 知 ， 所 以 证 书 中 的 内 容 不 
可 能 被 任何 第 三 方 更 改 。 持 卡 人 证 书 只 有 在 付款 银行 的 同意 下 发 给 持 卡 人 。 该 证 书 同 购 
买 请 求 和 加 密 后 的 付款 指令 一 起 发 给 商家 ， 商 家 在 验证 此 证 书 有 效 后 ， 就 可 以 认为 持 卡 
人 为 合法 的 使 用 者 。 持 卡 人 的 证 书 是 一 个 数字 签名 证 书 ， 用 于 验证 持 卡 人 的 数字 签名 ， 
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而 不 能 用 于 会 话 密 钥 的 交换 。 任 何 持 卡 人 只 有 在 申请 到 数字 证 书 之 后 ， 才 能 够 进行 电子 
交易 。 


品牌 签名 证 书 


| 区 域 性 认证 中 心 签名 证 书 | 


1 1 
持 卡 人 认证 中 心 商务 认证 中 心 签 支付 网 关 认 证 中 
签名 证 书 名 证 书 心 等 名 证 书 


1 1 
持 卡 人 签名 商户 签名 商务 密 钥 交 | | 支付 网 关 签 | | 支付 网 关 密 
证 书 证 书 换 证 书 名 证 书 钥 交换 证 书 


图 4-124 SET 协议 中 证 书 的 层次 模型 


(2) 商家 证 书 (Merchant Certificates): 表示 商家 与 收 单行 有 联系 ， 收 单行 同意 商家 
接受 付款 卡 支 付 。 商 家 证 书 由 收 单行 数字 签名 后 颁发 。 商 家 要 加 入 SET 的 交易 至 少 要 拥 
有 一 对 证 书 : 一 个 为 签名 证 书 ， 用 来 让 其 他 用 户 验证 商家 对 交易 信息 的 数字 签名 ， 另 一 
个 为 交换 密 钥 证 书 ， 用 来 在 交易 过 程 中 交换 用 于 加 密 交易 信息 的 会 话 密 钥 。 事 实 上 ， 一 
个 商家 通常 拥有 多 对 证 书 ， 以 支持 不 同 品牌 的 付款 卡 。 

(3) 支付 网 关 证 书 (Payment Gateway Certificates): 用 于 商家 和 持 卡 人 在 进行 支付 
处 理 时 对 支付 网 关 进 行 确认 以 及 交换 会 话 密 钥 ,因此 一 个 支付 网 关 也 应 该 拥有 两 个 证 书 : 
签名 证 书 和 交换 密 钥 证 书 。 持 卡 人 在 支付 时 从 支付 网 关 的 交换 密 钥 证 书 中 得 到 保护 他 的 
支付 卡 账号 及 密码 的 公开 密 钥 。 通 常 支付 网 关 证 书 由 付款 卡 品牌 CA 发 给 收 单行 。 

(4) 收 单行 证 书 (Acquirer Certificates): 收音 行 必须 拥有 一 个 证 书 以 便 运行 一 个 证 
书 颁发 机 构 ， 它 接收 和 处 理 商 家 通过 公共 网 络 或 私有 了 网络 传 来 的 证 书 请 求 和 授权 信息 。 
收 单行 证 书 由 付款 卡 品牌 CA 发 给 收 单行 。 

(5) 发 卡 行 证 书 〈Issuer CertifiCates): 发 卡 行 必 须 拥有 一 个 证 书 以 便 运 行 一 个 证 书 
颁发 机 构 ， 它 接收 和 处 理 持 卡 人 通过 公共 网 络 或 私有 网 络 传 来 的 证 书 请 求 和 授权 信息 。 
发 卡 行 证 书 由 付款 卡 品牌 CA 发 给 发 卡 行 。 

SET 协议 使 用 密码 技术 来 保障 交易 的 安全 ， 主 要 包括 散 列 函数 、 对 称 加 密 算法 和 非 
对 称 加 密 算法 等 。SET 中 默认 使 用 的 散 列 函 数 是 SHA， 对 称 密码 算法 则 通常 采用 DES， 
公 钥 密码 算法 一 般 采 用 RSA。 
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在 用 RSA 加 密 时 ， 如果 直接 对 明文 加 密 ， 那么 对 密 文 进行 分 析 ， 从 而 得 到 明文 的 一 
些 位 是 可 能 的 , 而 且 这 样 的 技术 确实 存在 。 因此 ，SET 在 数字 信封 中 用 RSA 加 密会 话 密 
钥 或 是 持 卡 人 账号 的 时 候 ， 首 先 用 OAEP 算法 对 明文 编码 。OAEP 算法 的 作用 是 使 消息 
的 各 位 之 间 相 互联 系 在 一 起 ， 从 而 使 得 根据 密 文 来 求解 明文 的 任意 位 的 难度 是 相同 的 。 


4.11.2.4 SET 协议 的 数据 封装 


SET 协议 经 常 使 用 的 数据 封装 格式 包括 数字 信封 封装 和 双 数 字 签名 封装 以 及 相应 的 
数据 封装 格式 。 

(1) 持 卡 人 账号 的 盲 化 及 散 列 消息 封装 。 散 列 函数 在 SET 中 除了 与 签名 算法 结合 使 
用 以 及 进行 消息 的 完整 性 验证 之 外 ， 还 用 来 保护 持 卡 人 账号 的 安全 。 在 持 卡 人 证 书 中 不 
直接 包含 账号 信息 ， 而 是 把 它 盲 化 以 后 放 入 证 书 中 。 在 盲 化 账号 时 ， 使 用 散 列 函 数 和 持 
卡 人 与 CCA 共享 的 密码 值 。 将 共享 的 密码 值 ( 记 为 k) 作为 密 钥 ， 以 账号 、 有 效 期 等 相 
关 信 息 作为 信息 ( 记 为 ty)， 计 算 带 密 钥 的 散 列 值 HMAC (t，k) 作为 盲 化 的 账号 放 入 证 
书 。 因此， 只 有 CCA、 持 卡 人 和 发 卡 行 才能 对 账号 进行 认证 。 

(2) 数字 签名 封装 。 SET 协议 数字 签名 数据 的 封装 格式 使 用 PKCS#10 中 SignedData 
数据 格式 ， 如 图 4-125 所 示 。 
SignedData 


版 本 | 摘要 算法 标识 | 内 容 信 息 


SHA1 


RSA 加 密 


内 容 类 型 
消息 摘要 


发 行商 名 称 | 


图 4-125 ”SignedData 数据 格式 


(3) 数字 信封 (Digital Envelope) 封装 。 在 SET 中 ， 数 字 信 封 封装 的 详细 格式 使 用 
了 PKCS#10 中 的 EnvelopedData， 如 图 4-126 所 示 。 其 中 ， 加 密 数 据 的 封装 格式 使 用 了 
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PKCS# 10 中 的 EncryptedData， 如 图 4-127 所 示 。 
EnvelopedData 


| 版 本 | 收 单行 信息 


加 密 内 容 信 息 


收 单行 信息 
发 行商 和 序列 号 | 密 钥 加 密 算法 


发 行商 名 称 | 证 书 序列 号 


加 密 后 的 内 容 信息 


内 容 类 型 [meee 内 容 密 文 


DES CBC 
图 4-126 ”EnvelopedData 数据 格式 


EncryptedData 
版 本 加 密 后 的 内 容 信息 


0 
加 密 后 的 内 容 信息 


内 容 加 密 算法 


DES CBC 
DESCDMF 


图 4-127 EncryptedData 数据 格式 


(4) 双 数 字 签名 (Dual Signature) 封装 。 在 SET 的 交易 流程 中 ， 持 卡 人 在 支付 时 
需要 对 订单 信息 〈OI) 和 支付 信息 〈(PI) 进行 双 数 字 签 名 。 双 数字 签名 的 作用 一 方面 使 
得 商家 能 够 验证 持 卡 人 确实 对 OI 和 PI 进行 了 签名 ,但 只 能 看 到 OI， 而 不 知道 PI 的 具 
体内 容 ; 而 另 一 方面 使 得 支付 网 关 能 够 验证 持 卡 人 确实 对 OI 和 PI 进行 了 签名 ,但 只 能 
看 到 PI， 而 不 知道 OI 的 具体 内 容 。 事 实 上 ， 双 数字 签名 只 是 对 签名 的 内 容 和 数据 的 封 
装 作 了 改动 。 双 重 数字 签名 的 实现 过 程 如 图 4-128 所 示 。 

Q@ 持 卡 人 分 别 计算 OI 和 Pl 的 消息 摘要 OI digest 和 PI digest。 

@ 计算 OI digest | PI digest 的 消息 摘要 Digest，| 表 示 位 串 的 连接 。 

@ 持 卡 人 用 自己 的 签名 私 钥 对 Digest 签名 。 
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持 卡 人 将 PI digest、OI 和 双 数 字 签名 经 数字 信封 加 密 后 发 送 给 商家 ， 将 OI digest、 
PI 和 双 数 字 签 名 经 数字 信封 加 密 后 经 由 商家 转发 给 支付 网 关 。 商 家 解 开 信封 ， 生 成 订单 
的 摘要 后 和 账号 的 摘要 连接 起 来 ， 用 持 卡 人 证 书 的 签名 公 钥 即 可 验证 签名 。 


Hash 

订单 信息 OI 2 订单 信息 摘要 | 持 卡 人 签名 
连 Hash 私 铀 的 加 密 

支付 信息 PL | sn 支付 信息 摘要 


图 4-128 双 数 字 签名 


4.11.2.5 SET 协议 的 交易 流程 


SET 安全 电子 交易 的 整个 过 程 大 体 可 分 为 以 下 几 个 阶段 : 持 卡 人 《〈C) 注册 、 商 家 
(M) 注册 、 购 买 请 求 、 付 款 授 权 和 付款 结算 。 

1) 持 卡 人 注册 (Cardholder Registration ) 

持 卡 人 C 在 实施 电子 交易 之 前 必须 先 向 其 金融 机 构 〈 发 卡 行 ) 注册 登记 ， 以 便 得 到 
一 个 签名 证 书 。 在 这 个 过 程 中 ，C 为 了 保证 信息 的 机 密 性 ， 需 要 使 用 CCA 的 交换 密 钥 的 
公 钥 。 它 是 从 CCA 的 交换 密 钥 证 书 〈 在 初始 响应 中 由 CCA 发 送 ) 中 得 到 的 。 图 4-129 
描述 了 持 卡 人 通过 SET 协议 申请 证 书 的 信息 流程 。 


持 卡 人 认证 中 心 
持 卡 人 C CCA 


CardCInitReq 


CardCInitRes 
RegFormReq 
RegFormRes 


CertReq 
CertRes 


4-129 ” 持 卡 人 申请 证 书 的 流程 


注册 的 具体 步骤 如 下 。 
(1) C 向 CCA 发 送 初 始 请 求 CardCInitReq。 
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(2) CCA 接 到 初始 请 求 ， 生 成 初始 响应 CardCInitRes， 并 对 初始 响应 进行 数字 签名 ; 
CCA 把 CardCInitRes 连同 证 书 一 起 发 给 C。 

(3) 接 到 初始 响应 ， 并 验证 CCA 的 证 书 ; 接着 验证 CCA 对 响应 的 数字 签名 。 

(4) C 输入 账号 ， 生 成 注册 表 请 求 RegFormReq; C 随机 生成 对 称 密 钥 Ki， 用 Ki 对 
注册 表 请 求 消息 加 密 ，KI 与 账号 一 起 用 CCA 的 交换 密 钥 的 公 钥 加 密 ; C 发 送 加密 后 的 
RegFormReq 给 CCA。 

(5) CCA 用 交换 密 钥 的 私 钥 解密 K 和 账号 ， 用 K 解 密 加 密 的 RegFormReq。 

(6) CCA 选择 合适 的 注册 表 ， 生 成 注册 表 响 应 RegFormRes， 并 对 其 进行 数字 签名 ; 
CCA 发 送 加 密 的 RegFormRes 及 CCA 的 证 书 给 C。 

(7) C 接收 RegFormRes 并 验证 CCA 的 证 书 ; 接着 验证 CCA 对 注册 表 的 数字 签名 ; 
C 产生 一 对 公开 /秘密 密 钥 SignatureKeyPair 和 一 个 秘密 的 用 于 注册 账号 的 随机 数 Ri; C 
填写 注册 表 并 生成 证 书 请 求 CertReq。 

(8) C 生成 由 CertReq、C 的 公开 密 钥 和 新 生成 的 对 称 密 钥 K> 组 成 的 消息 ， 并 签名 ; 
C 将 此 消息 用 密 钥 Ks 加密 ，K3、Ri 与 账号 一 起 用 CCA 的 交换 密 钥 的 公 钥 加 密 ; C 发 送 
这 个 消息 (包括 加 密 的 账号 和 Rl 等) 给 CCA。 

(9) CCA 用 交换 密 钥 的 私 钥 解 密 K3、 随 机 数 Ri 和 账号 ， 用 Ks 解密 加 密 后 的 证 书 
请 求 ，CCA 验证 C 的 数字 签名 ， 用 账户 信息 和 注册 表 信 息 对 C 进行 必要 的 验证 (SET 
中 没有 具体 规定 )， 根据 验证 结果 ，CCA 生成 随机 数 Rs， 将 Re、Ri、C 的 账号 、 有 效 期 
等 信息 的 散 列 值 包含 在 证 书 中 ， 并 签名 ， 生 成 证 书 。 

(10) CCA 生成 证 书 应 答 CertRes (包含 有 加 密 的 R,〉 并 签名 ; CCA 将 CertRes 用 
Ks 加密 后 发 送 给 C。 

(11) C 验证 CCA 的 证 书 并 用 Ka: 解密 消息 CertRes; C 验证 CCA 对 证 书 的 数字 签名 
后 保留 证 书 以 及 CCA 产生 的 秘密 随机 数 R2。 

在 持 卡 人 注册 过 程 中 , C 的 证 书 不 直接 包含 C 的 账号 , 而 是 包含 相关 信息 的 散 列 值 。 
因此 ， 仅 有 证 书 提 供 的 信息 是 不 可 能 推 知 出 账号 信息 的 ， 这 样 就 保护 了 持 卡 人 的 敏感 信 
息 ; 此 外 ，C 没有 交换 密 钥 证 书 ， 会 话 密 钥 总 是 由 C 产生 并 通过 CCA 的 交换 密 钥 的 公 
钥 加 密 传递 。 

2) 商家 注册 (Merehant Registration) 

商家 M 在 进行 电子 交易 之 前 ， 必 须 先 向 其 金融 机 构 〈 收 单行 ) 注册 登记 ， 以 便 得 到 
签名 证 书 和 交换 密 钥 证 书 。 而 支付 网 关 的 证 书 获 取 过 程 同 商家 的 一 样 。 图 4-130 描述 了 
商家 (或 支付 网 关 ) 通过 SET 协议 申请 证 书 的 流程 。 

注册 的 具体 步骤 如 下 。 

(1) M 发 送 初 始 请 求 Me-AqCInitReq 给 MCA。 

(2) MCA 接收 到 消息 Me-AqCInitReq， 选 择 合适 的 注册 表 ， 生 成 初始 响应 Me- 
AqCInitRes， 并 对 其 进行 数字 签名 ，MCA 发 送 Me-AqCInitRes 及 MCA 的 证 书 给 M。 
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商户 认证 中 心 或 
eg 支付 网 关 认证 中 心 


Me-AqCInitReq 
Me-AqCInitRes 
CertReq 


CertRes 


图 4-130 商家 (或 支付 网 关 ) 申请 证 书 的 流程 


(3) M 验证 MCA 对 消息 的 数字 签名 ， 并 产生 两 对 公开 /秘密 密 钥 : Key-eXChange 
Pair 和 SignatureKeyPair; M 填写 注册 表 并 生成 证 书 请 求 CertReq; M 生成 请 求 和 两 个 公 
开 密 钥 构 成 的 消息 并 签名 ;: M 将 消息 用 随机 生成 的 密 钥 Kl 加密，Ki 及 M 的 账户 信息 用 
MCA 的 交换 密 钥 的 公 钥 加 密 ; M 把 消息 发 送 给 MCA。 

(4) MCA 收 到 消息 ， 用 交换 密 钥 的 私 钥 解 密 K 和 M 的 账户 信息 ， 并 用 Ki 解密 消 
息 ; M 以 验证 M 的 数字 签名 , 使 用 M 的 有 关 信 息 证 实 CertReq; 根据 验证 MCA 生成 M 
的 证 书 并 对 其 签名 ; M 以 生成 证 书 响应 CertRes 并 签名 ; MCA 发 送 证 书 和 CertRes 给 M。 

(5) M 验证 CertRes 的 签名 ， 接 着 验证 M 以 颁发 的 证 书 的 数字 签名 ， 并 保留 证 书 。 

3) 购买 请 求 (purehase Request) 

购物 请 求 的 具体 步骤 如 下 。 

(1) C 通过 一 定 的 方式 挑选 商品 。 选 完 后 ，C 发 送 初始 请 求 给 M。 

(2) M 接收 初始 请 求 ， 并 生成 初始 响应 ， 对 其 进行 数字 签名 ; M 把 初始 响应 、M 和 
PG 的 证 书 发 送 给 C。 

(3) C 接收 到 初始 响应 ， 并 验证 所 有 的 证 书 ; C 验证 M 对 初始 响应 的 数字 签名 ; C 
生成 订单 信息 OI 和 付款 指令 信息 PTI， 并 对 OI 和 PI 进行 双 数 字 签 名 ; C 用 随机 生成 的 
对 称 密 钥 Ki 对 PI 加密， Ki 和 CC 的 账户 信息 用 PG 的 交换 密 钥 的 公 钥 加 密 ; C 发 送 OI 及 
加 密 的 PI 给 M。 

(4) M 验证 C 的 证 书 及 C 的 双 数 字 签 名 ; M 处 理 购 买 请 求 ， 生 成 购买 响应 (包括 
M 的 证 书 ) 并 对 其 签名 ， 发 送 给 C。 

(5) 若 交 易 已 经 授权 ， 则 M 履行 合同 。 

(6) C 接收 购买 响应 后 ， 验 证 M 的 证 书 ， 进 一 步 验证 M 对 购买 响应 的 数字 签名 ; C 
保留 购买 响应 。 

在 购买 请 求 中 ， 双 数字 签名 的 作用 是 使 商家 可 以 验证 OI 和 PI 是 由 持 卡 人 进行 签名 
的 ,但 商家 却 不 能 够 看 到 PI 的 具体 内 容 。 而 对 于 支付 网 关 而 言 ， 它 也 能 够 验证 OI 和 PI 
是 由 持 卡 人 进行 签名 的 ， 但 它 不 能 够 看 见 OI 的 具体 内 容 。 使 用 双 数 字 签 名 的 好 处 是 不 
仅 能 够 对 消息 源 、 消 息 完整 性 进行 认证 ， 而 且 使 信息 得 到 了 最 大 程度 的 保护 。 
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4) 付款 授权 (payment Authorization ) 

在 购买 请 求 的 过 程 中 , M 还 要 在 发 送 购买 响应 之 前 完成 付款 授权 , 其 具体 步骤 如 下 。 

(1) M 生成 授权 请 求 ， 并 对 其 进行 签名 ，M 将 授权 请 求 用 随机 生成 的 对 称 密 钥 有 > 
加 密 ，K2 则 用 PG 的 交换 密 钥 的 公 钥 加 密 ; M 将 加 密 后 的 信息 和 M 的 证 书 一 起 发 送 给 
PG。 

(2) 验证 M 的 证 书 ， 用 自己 的 交换 密 钥 私 钥 解密 Kz， 用 K2 解密 授权 请 求 ，PG 验 
证 M 对 授权 请 求 的 签名 ; 接着 ,验证 C 的 证 书 ， 用 自己 的 交换 密 钥 私 钥 解密 Ki， 用 Ki 
解密 付款 指令 PI; PG 验证 C 的 双 数字 签名 , 验证 M 的 授权 请 求 与 C 的 付款 指令 的 一 致 
性 ; PG 将 授权 请 求 通过 金融 网 络 发 送 给 C 的 金融 机 构 。 

(3) PG 生成 授权 响应 并 对 其 进行 数字 签名 ， 用 Ks 对 授权 响应 加 密 ， 而 Ks 用 M 的 
交换 密 钥 公 钥 加 密 ; PG 生成 结算 标记 并 签名 ， 并 用 K4 加 密 ，K4 及 C 的 账户 信息 用 PG 
的 交换 密 钥 公 钥 加 密 ; PG 将 加 密 的 响应 及 自己 的 证 书 发 送 给 M。 

(4) M 验证 PG 的 证 书 ， 用 自己 的 交换 密 钥 私 钥 解密 K3， 用 Ks 解密 响应 消息 ，M 
验证 PG 对 授权 响应 的 数字 签名 ，M 保留 结算 标记 供 以 后 使 用 ， 并 完成 购买 请 求 。 

5) 付款 结算 (Payment Capture) 

M 在 履行 合同 之 后 要 求 结算 付款 。 在 付款 授权 和 付款 结算 之 间 经 常 有 较 长 的 时 间 间 
隔 。 具 体 的 付款 结算 步骤 如 下 。 

(1) M 生成 结算 请 求 ， 并 把 自己 的 证 书 加 入 结算 请 求 中 ， 进 行 数字 签名 ; M 将 结算 
请 求 用 Ks 加密, Ks 用 PG 的 交换 密 钥 公 钥 加 密 , 发 送 加 密 的 结算 请 求 及 在 授权 过 程 中 保 
留 的 加 密 了 的 结算 标记 给 PG。 

(2) PG 首先 验证 M 的 证 书 ， 用 自己 的 交换 密 钥 私 钥 解 密 Ks， 用 Ks; 解密 结算 请 求 ; 
PG 验证 M 对 结算 请 求 的 数字 签名 ， 用 自己 的 交换 密 钥 私 钥 解密 K4， 用 K4 解 密 结算 标 
记 ， 确 认 结算 请 求 与 结算 标记 的 一 致 性 。 

(3) PG 生成 结算 响应 消息 (包括 PG 的 证 书 )， 并 签名 ; PG 将 结算 响应 用 Ke 加 密 ， 
Ke 用 M 的 交换 密 钥 公 钥 加 密 ， 最 后 发 送 给 M。 

(4) M 验证 PG 的 证 书 ， 用 自己 的 交换 密 钥 私 钥 解密 Ke， 用 Ke 解密 结算 响应 ; M 
验证 PG 对 结算 响应 的 签名 ， 保 留 结 算 响应 以 便 用 来 从 收 单行 提 款 。 


4.11.3 HTTPS 


4.11.3.1 HTTPS 的 概念 


HTTPS(Hypertext Transfer Protocol over Secure Socket Layer, 基于 SSL 协议 的 HITP) 
是 一 个 安全 通信 通道 ， 用 于 在 客户 计算 机 和 服务 器 之 间 交 换 信息 。 它 使 用 安全 套 接 字 层 
进行 信息 交换 ， 所 有 的 数据 在 传输 过 程 中 都 是 加 密 的 。HITPS 最 初 的 研发 由 网 景 公司 进 
行 , 提供 了 身份 验证 与 加 密 通 信 方 法 , 现在 它 被 广泛 用 于 全 球 信息 网 上 安全 敏感 的 通信 ， 
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例如 交易 支付 方面 。 

严格 来 说 ，HTTPS 不 是 一 个 单独 的 协议 ,而 是 两 个 协议 的 结合 ， 即 在 加 密 的 安全 套 
接 层 或 传输 层 安全 (TLS) 上 进行 普通 的 HTTP 交互 传输 。 这 种 方式 提供 了 一 种 免 于 窃 
听 者 或 中 间 人 攻击 的 合理 保护 。 

要 使 一 个 网 络 服务 器 接受 HITPS 连接 ， 管 理 员 必 须 为 服务 器 生成 一 个 电子 证 书 。 
在 基于 UNIX 的 服务 器 上 , 这 些 证 书 可 以 通过 一 些 工 具 , 诸如 OpenSSL 的 ssl-ca 或 SUSE 
的 gensslcert 来 产生 。 

当 使 用 SSL/TLS (通常 使 用 https: // URL) 向 站 点 进行 HTTP 请 求 时 ， 服 务 器 将 向 
客户 机 发 送 一 个 证 书 。 客 户 机 使 用 已 安装 的 公共 证 书 验 证 服务 器 的 身份 , 然后 检查 IP 名 
称 〈 机 器 名 ) 与 客户 机 连接 的 机 器 是 否 匹 配 。 客 户 机 生成 一 些 可 以 用 来 生成 对 话 的 私 钥 
( 称 为 会 话 密 钥 ) 的 随机 信息 ， 然 后 用 服务 器 的 公 钥 对 它 加 密 并 将 它 发 送 到 服务 器 。 服 务 
器 用 自己 的 私 钥 解密 消息 ， 然 后 用 该 随机 信息 派生 出 和 客户 机 一 样 的 私有 会 话 密 钥 。 通 
常 在 这 个 阶段 使 用 RSA 公 钥 算法 。 然后 , 客户 机 和 服务 器 使 用 私有 会 话 密 钥 和 私 钥 算法 
(通常 是 RC4) 进行 通信 。 使 用 另 一 个 密 钥 的 消息 认证 码 来 确保 消息 的 完整 性 。 

在 RFC 2818 中 ， 描 述 了 如 何 将 TLS 应 用 于 Intemet 上 的 安全 的 HTTP 连接 。 

要 注意 的 是 ，HTTPS 不 同 于 EIT 开发 的 SHTTP, SHTTP (Secure HyperText Transfer 
Protocal， 安 全 超 文本 转换 协议 ) 是 一 个 https URI scheme 的 可 选 方案 ， 也 是 为 因特网 的 
HTTP 加 密 通信 而 设计 的 。S-HTTP 定义 于 RFC 2660。 


4.11.3.2 HTTPS 的 初始 化 连接 


作为 HTTP 客户 的 代理 ， 同 时 也 作为 TLS 的 客户 。 在 HITPS 初始 化 连接 时 ，HTTP 
客户 代理 向 服务 器 的 适当 端口 发 起 一 个 连接 , 然后 发 送 TLS ClientHello 来 开始 TLS 握手 。 
当 TLS 握手 完成 ,客户 可 以 初始 化 第 一 个 HITP 请 求 。 所 有 的 HTTP 数据 必须 作为 TLS 
的 “应 用 数据 ”发 送 。 当 然 ， 正 常 的 HTTP 行为 ， 如 保持 连接 等 ， 和 HTTP 是 一 样 的 。 


4.11.3.3 ”HTTPS 的 关闭 连接 


TLS 提供 了 安全 关闭 连接 的 机 制 。 当 收 到 一 个 有 效 的 关闭 警告 时 ， 这 个 连接 上 不 再 
接收 任何 数据 。TLS 的 实现 在 关闭 连接 之 前 发 起 交换 关闭 请 求 。TLS 实现 可 能 在 发 送 关 
闭 请 求 后， 不 等 待 对 方 发 送 关 闭 请 求 即 关 闭 该 连接 ， 产 生 一 个 “不 完全 的 关闭 ”。 

一 个 未 成 熟 请 求 并 不 质疑 数据 已 被 安全 地 接收 , 而 仅 意味 着 接 下 来 数据 可 能 被 截 掉 。 
由 于 TLS 并 不 知道 HTTP 的 请 求 /响应 边界 ， 为 了 解数 据 截断 是 发 生 在 消息 内 还 是 在 消 
息 之 间 ， 有 必要 检查 HTTP 数据 本 身 〈 即 Content-Length 头 )。 

1) 客户 行为 

由 于 HTTP 使 用 连接 关闭 表示 服务 器 数据 的 终止 ， 客 户 端 实现 上 对 任何 未 成 熟 的 关 
闭 要 作为 错误 对 待 ， 对 收 到 的 数据 认为 有 可 能 被 截断 。 在 某 些 情况 下 ，HTTP 协议 允许 
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客户 知道 截断 是 否 发 生 ， 这 样 如 果 客 户 收 到 了 完整 的 应 答 ， 则 在 遵循 “ 严 出 松 入 [RFC 
1958]” 的 原则 下 可 容忍 这 类 错误 ， 数 据 截 断 经 常 不 体现 在 HITP 协议 数据 中 。 有 如 下 两 
种 情况 特别 值得 注意 。 

(1) 一 个 无 Content-Length 头 的 HITP 响应 。 在 这 种 情况 下 ， 数 据 长 度 由 连接 关闭 
请 求 通知 ， 我 们 无 法 区 分 由 服务 器 产生 的 未 成 熟 关闭 请 求 及 由 网 络 攻 击 者 伪造 的 关闭 
请 求 。 

(2) 一 个 带 有 有 效 Content-Length 头 的 HTTP 响应 在 所 有 数据 被 读 取 完 之 前 关闭 。 
由 于 TLS 并 不 提供 面向 文档 的 保护 ， 所 以 无 法 知道 是 服务 器 对 Content-Length 计算 错误 
还 是 攻击 者 已 截断 连接 。 

以 上 规则 有 一 个 例外 。 当 客户 遇 到 一 个 未 成 熟 关 闭 时 ， 客 户 把 所 有 已 接收 到 的 数据 
同 Content-Length 头 指定 的 一 样 多 的 请 求 视 为 已 完成 。 

客户 检测 到 一 个 未 完成 关闭 时 应 予以 有 序 恢复 ， 它 可 能 恢复 一 个 以 这 种 方式 关闭 的 
TLS 对 话 。 客 户 在 关闭 连接 前 必须 发 送 关闭 警告 。 未 准备 接收 任何 数据 的 客户 可 能 选择 
不 等 待 服务 器 的 关闭 警告 而 直接 关闭 连接 ， 这 样 在 服务 器 端 产生 一 个 不 完全 的 关闭 。 

2) 服务 器 行为 

RFC 2616 允许 HTTP 客户 在 任何 时 候 关 闭 连接 , 并 要 求 服务 器 有 序 地 恢复 它 。 特别 
是 服务 器 应 准备 接收 来 自 客户 的 不 完全 关闭 , 因为 客户 往往 能 够 判断 服务 器 数据 的 结束 。 
服务 器 应 乐于 恢复 以 这 种 方式 关闭 的 TLS 对 话 。 

在 实现 上 ， 在 不 使 用 永久 连接 的 HITP 实现 中 ， 服 务 器 一 般 期 望 能 通过 关闭 连接 通 
知 数据 的 结束 。 但 是 ， 当 Content-Length 被 使 用 时 ， 客 户 可 能 早已 发 送 了 关闭 警告 并 断 
开 了 连接 。 

服务 器 必须 在 关闭 连接 前 试图 发 起 同 客户 交换 关闭 警告 。 服 务 器 可 能 在 发 送 关 闭 警 
告 后 关闭 连接 ， 从 而 形成 了 客户 端的 不 完全 关闭 。 


4.11.3.4 HTTPS 的 端口 和 URI 格式 


HTTPS 是 一 个 URI scheme〈 抽 象 标识 符 体系 )， 用 于 安全 的 HITP 数据 传输 ， 句 法 
类 同 http: 体系 。https: URL 表明 它 使 用 了 HITP, 但 HTTPS 存在 不 同 于 HTT?P 的 默认 
端口 及 一 个 加 密 / 身 份 验证 层 (在 HTTP 与 TCP 之 间 )。https: URL 连接 可 以 指定 TCP 
端口 ， 否 则 使 用 默认 的 443 端口 (普通 HTTP 连接 一 般 使 用 80 端口 )。 

HTTP 服务 器 期 望 最 先 从 客户 收 到 的 数据 是 Request-Line production，TLS 服务 器 期 
望 最 先 收 到 的 数据 是 ClientHello。 因 此 ,一 般 做 法 是 在 一 个 单独 的 端口 上 运行 HTTP/TLS， 
以 区 分 是 在 使 用 哪 种 协议 。 当 在 TCP/IP 连接 上 运行 HTTP/TLS 时 ,默认 端口 是 443。 这 
并 不 排除 HTTP/TLS 运行 在 其 他 传输 上 。TLS 只 假设 有 可 靠 的 、 面 向 连接 的 数据 流 。 

HTTP/TLS 和 HTTP 的 URI 不 同 ,使 用 协议 描述 符 https 而 不 是 http。 使 用 HTTP/TLS 
的 一 个 URI 例子 是 : 
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https: //www.example.com/~smith/home.html 
4.11.3.5 ” 端 标 识 


1) 服务 器 身份 

通常 ， 解析 一 个 URI 产生 HTTP/TLS 请 求 ， 结 果 客 户 得 到 服务 器 的 主机 名 。 若 主机 
名 可 用 ， 为 防止 有 人 在 中 间 攻 击 ， 客 户 必须 把 它 同 服务 器 证 书信 息 中 的 服务 器 的 身份 号 
比较 检查 。 

若 客户 有 相关 服务 器 标志 的 外 部 信息 ， 主 机 名 检查 可 以 忽略 〈 例 如 ， 客 户 可 能 连接 
到 一 个 主机 名 和 卫 地 址 都 是 动态 的 服务 器 上 ， 但 客户 了 解 服务 器 的 证 书信 息 )。 在 这 种 
情况 下 ， 为 防止 有 人 攻击 ， 尽 可 能 缩小 可 接受 证 书 的 范围 就 很 重要 。 在 特殊 情况 下 ， 客 
户 简单 地 忽略 服务 器 的 身份 是 可 以 的 ， 但 必须 意识 到 连接 对 攻击 是 完全 敞开 的 。 

若 dNSName 类 型 的 subjectAltName 扩展 存在 ， 则 必须 被 用 作 身 份 标识 。 否 则 ， 在 
证 书 的 Subject 字段 中 必须 使 用 Common Name 字段 。 虽然 使 用 Common Name 是 通常 的 
做 法 ， 但 不 被 推荐 ， 而 Certification Authorities 被 推荐 使 用 dNSName。 

使 用 [RFC 2459] 中 的 匹配 规则 进行 匹配 。 若 在 证 书 中 给 定 类 型 的 身份 标识 超过 一 个 
(也 就 是 超过 一 个 dNSName 和 集合 中 的 相 匹 配 )， 名 字 可 以 包括 通配符 * 表 示 和 单个 域名 
或 其 中 的 一 段 相 匹配 。 例如 ，*.a.com 和 foo.a.com 匹配 但 和 barfoo.a.com 不 匹配 , f*.com 
和 foo.com 匹配 但 和 bar.com 不 匹配 。 

在 某 些 情况 下 ，URI 定义 的 不 是 主机 名 而 是 人 P 地 址 。 在 这 种 情况 下 , 证书 中 必须 有 
iPAddress subjectAltName 字段 且 必 须 精 确 匹 配 在 URI 中 的 他 地址 。 

若 主机 名 和 证 书 中 的 标识 不 相符 ， 面 向 用 户 的 客户 端 必须 或 者 通知 用 户 〈 客 户 端 可 
以 给 用 户 机 会 来 继续 连接 ) 或 终止 连接 并 报 证 书 错 。 自 动 客 户 端 必须 将 错误 记录 在 适当 
的 审计 日 志 中 〈 若 有 ) 并 应 该 终止 连接 〈 带 一 证 书 错 )。 自 动 客户 端 可 以 提供 选项 禁止 这 
种 检查 ， 但 必须 提供 选项 使 能 它 。 

注意 ,在 很 多 情况 下 URI 本 身 是 从 不 可 信任 的 源 得 到 的 。 以 上 描述 的 检查 并 未 提供 
对 危害 源 的 攻击 的 保护 。 例 如 ， 若 URI 是 从 一 个 未 采用 HTTP/TLS 的 HTML 页 面 得 到 
的 ， 某 个 人 可 能 已 在 中 间 蔡 换 了 URI。 为 防止 这 种 攻击 ， 用 户 应 仔细 检查 服务 器 提供 的 
证 书 是 否 是 期 望 的 。 

2) 客户 标识 

典型 情况 下 ， 服 务 器 并 不 知道 客户 的 标识 是 什么 也 就 无 法 检查 《除非 有 合适 的 CA 
证 书 )。 若 服务 器 知道 (通常 是 在 HITP 和 TLS 之 外 的 源 得 到 的 )， 它 应 该 像 上 面 描述 的 
那样 检查 。 


4.12 ”桌面 安全 解决 方案 


桌面 系统 通常 是 指 个 人 使 用 的 PC、 网络 上 的 终端 随 着 网 络 化 程度 的 提高 ,特别 是 
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因特网 应 用 的 普及 ， 桌 面 系统 接 入 网 络 已 经 非常 普遍 。 在 开放 互联 的 网 络 环境 中 进行 办 
公事 务 、 电 子 商 务 以 及 休闲 娱乐 等 网 络 活动 的 同时 ， 往 往 容 易 受 到 病毒 的 侵袭 、 黑 客 的 
攻击 ， 而 且 病 毒 的 传播 途径 和 黑客 的 攻击 手段 更 富 多 样 化 ， 行 为 也 更 隐蔽 。 如 何 保护 桌 
面 系统 的 安全 ， 做 到 能 抵御 恶意 攻击 和 病毒 侵袭 ， 保 证 信息 在 存储 和 传输 过 程 中 不 被 窃 
取 、 算 改 ， 使 得 重要 信息 个 人 专用 ， 已 经 成 为 大 家 越 来 越 关 注 的 问题 。 桌 面 安全 防护 几 
乎 涉及 到 信息 安全 的 各 种 技术 ， 如 用 户 安全 认证 网 络 访问 控制 、 信 息 存储 加 密 、 电 子 邮 
件 安全 以 及 安全 审计 等 。 随 着 信息 网 络 的 迅速 发 展 ， 在 当今 的 信息 时 代 ， 信 息 技术 已 经 
彻底 改变 了 我 们 的 生活 和 工作 方式 ， 也 改变 了 现行 企 事业 单位 的 管理 模式 。 作 为 信息 的 
管理 部 门 ， 必 须 考虑 当前 技术 的 发 展 给 我 们 的 工作 所 带 来 的 利益 和 威胁 。 如 何 利 用 信息 
网 络 进行 安全 的 通信 ， 同 时 保护 计算 机 自身 信息 的 安全 性 ， 成 为 当前 网 络 安 全 和 信息 安 
全 迫在眉睫 的 问题 。 针 对 日 益 严重 的 内 部 信息 泄露 问题 ，FBI 对 484 家 公司 调查 显示 : 
面 对 来 自 于 公司 内 部 的 安全 威胁 ，85% 的 安全 损失 是 由 企业 内 部 原因 造成 的 。 对 于 很 多 
国内 企业 来 说 ， 这 可 能 有 点 符 人 听闻 。 但 是 ， 他 们 肯定 遇 到 过 类 似 的 事情 ， 由 于 某 一 位 
员工 误 操作 造成 公司 服务 器 上 重要 文档 丢失 ; 由 于 没有 定义 每 位 员工 在 系统 内 的 访问 权 
限 ， 使 本 该 由 一 定 级 别 的 人 员 才 能 掌握 的 业务 秘密 泄露 给 竞争 对 手 。 对 于 这 些 来 自 公 司 
内 部 的 安全 问题 ， 不 是 靠 单纯 安装 杀毒 软件 或 防火 墙 就 能 解决 的 。 目 前 ，90% 以 上 的 终 
端 用户 使 用 的 是 Windows 2000/XP 或 以 上 的 操作 系统 ， 而 这 几 种 系统 的 安全 漏洞 又 非常 
多 ， 微 软 公司 会 通过 定期 发 布 安全 补丁 的 方式 来 弥补 这 些 漏洞 ， 但 由 于 端 终 用 户 缺 乏 相 
关 知 识 ， 导 致 补丁 安装 的 不 完全 、 不 及 时 ， 这 就 会 严重 影响 终端 计算 机 的 安全 ， 从 而 导 
致 更 严重 的 整个 内 网 安全 问题 。 

目前 市 场 上 的 网 络 管理 产品 主要 分 为 两 类 : 一 种 是 以 资产 管理 功能 为 主 的 桌面 管理 
软件 ， 传 统 的 桌面 管理 软件 主要 是 以 解决 桌面 计算 机 资产 管理 困难 为 出 发 点 的 ， 目 前 这 
些 产品 的 厂商 也 正在 逐步 往 产 品 中 增加 安全 管理 的 功能 ， 二 是 以 安全 管理 为 主 的 桌面 管 
理 软件 ， 目 前 市 场 上 新 出 现 的 产品 绝 大 多 数 都 是 以 安全 管理 为 主 的 ， 但 是 多 数 的 产品 市 
场 应 用 情况 都 不 十 分 理想 。 桌 面 安 全 软件 大 致 可 以 分 为 以 下 几 种 类 型 : 防 病毒 为 主 的 桌 
面 安全 软件 ， 这 类 软件 基本 上 专注 于 对 抗 基于 Windows 平台 的 病毒 , 现在 也 提供 对 某 些 
类 型 文件 的 恶意 代码 扫描 功能 .个 人 防火 墙 主要 是 从 网 络 的 角度 来 保护 计算 机 免 受 侵犯 ， 
主要 功能 是 屏蔽 大 部 分 可 能 被 攻击 的 网 络 服务 。VPN 技术 主要 是 在 客户 端 和 服务 器 之 间 
建立 一 条 安全 的 隧道 ， 保 证 客户 端 和 服务 器 之 间 的 通信 不 被 监听 。 增 强 操作 系统 主要 是 
针对 Windows 操作 系统 利用 某 些 未 公开 API 来 提升 Windows 操作 系统 的 安全 性 ， 限 制 
操作 (这些 工 具 主 要 用 于 网 吧 或 者 限制 儿童 使 用 计算 机 )。 硬件 设备 利用 硬件 设备 提供 具 
体 的 安全 功能 , 如 利用 USB-key、IC 卡 等 实现 对 桌面 系统 的 控制 , 控制 系统 的 可 使 用 性 。 
生物 特征 利用 指纹 、 虹 膜 和 面容 等 生物 特征 作为 系统 登录 的 凭据 以 增强 系统 的 安全 性 。 
利用 公 钥 技术 实现 强 有 力 的 身份 认证 、 数 据 加 密 保护 、 数 据 传 输 和 数字 签名 是 近 几 年 兴 
起 的 安全 技术 。 
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桌面 管理 系统 存在 的 主要 问题 是 缺乏 网 络 准 入 控制 功能 ， 无 法 防止 外 来 人 员 将 计算 
机 接 入 网 络 ， 更 难以 防范 本 单位 员工 将 外 来 计算 机 接 入 单位 网 络 ， 难 以 在 大 型 网 络 系统 
中 快速 发 现 新 接 入 的 计算 机 ， 由 于 发 现 困 难 进而 导致 管理 上 的 困难 。 难 以 发 现 安装 了 个 
人 防火 墙 的 桌面 计算 机 ， 由 于 计算 机 安装 个 人 防火 墙 ， 不 能 通过 网 络 PING 通 ， 因 此 很 
难 被 管理 服务 器 发 现 。 个 人 计算 机 如 果 把 安装 在 其 上 面 的 代理 卸载 ， 管 理 服 务 器 很 难 发 
现 这 种 行为 。 很 少 有 产品 可 以 提供 依据 瑟 地址 、MAC 地 址 和 主机 名 等 信息 对 计算 机 进 
行 快速 定位 的 功能 ， 由 于 桌面 计算 机 数量 多 ， 管 理 维护 中 经 常 需要 解决 这 个 问题 ， 因 此 
这 项 功能 很 重要 。 无 法 控制 不 让 外 来 非法 计算 机 或 者 不 符合 管理 规定 的 计算 机 接 入 单位 
内 部 网 络 ， 目 前 只 有 少 部 分 高 端 厂 商 的 产品 通过 网 络 准 入 控制 技术 解决 了 这 个 问题 。 

大 中 型 企 事业 单位 、 政 府 办 公 网 络 ， 桌 面 计 算 机 数量 众多 ， 管 理 难度 很 大 。 计 算 机 
感染 病毒 、 被 安装 木马 〈 像 目前 最 严重 的 灰 鸽 子 )， 有 些 不 明 程序 不 断 抢占 IP 地 址 造成 
其 他 机 器 无 法 正常 工作 ， 还 有 部 分 员工 使 用 BT、 电 驴 下 载 工具 等 现象 时 有 发 生 。 由 于 
难以 发 现 有 问题 的 计算 机 ， 难 以 对 这 些 危 险 计算 机 进行 定位 ， 一 旦 问题 发 生 ， 往 往 故障 
排查 时 间 非 常 长 。 如 果 同 时 有 多 台 计 算 机 感染 网 络 病毒 或 者 进行 非法 操作 ， 非 常 容易 导 
致 网 络 阻塞 ， 从 而 致使 其 他 正常 网 络 业 务 无 法 使 用 。 由 于 缺乏 技术 和 管理 手段 ， 许 多 管 
理 规 定 也 难以 执行 。 例 如 ， 在 个 人 使 用 的 计算 机 内 安装 BT 下 载 软件 ， 安 装 网 络 游戏 软 
件 ， 私 自 更 改 计算 机 的 安全 设置 ， 将 外 部 的 计算 机 接 入 单位 的 内 部 网 络 等 行为 。 这 些 行 
为 违反 了 单位 的 管理 规定 ， 也 影响 了 计算 机 网 络 的 安全 性 ， 如 果 情 况 更 严重 ， 可 能 会 导 
致 网 络 瘫痪 。 尤 其 是 没有 相关 的 技术 与 管理 手段 , 企业 许多 管理 规定 也 难以 执行 。 例 如 ， 
上 班 时 间 不 准 聊 QQ, 不 准 安 装 BT 和 电驴 等 下 载 工 具 , 不 准 玩 网 络 游戏 , 不 准 私自 修改 
计算 机 安全 设置 ,不 准 通过 正 代理 私自 浏览 与 工作 无 关 的 网 站 , 需要 设置 操作 系统 密码 ， 
必须 安装 防 病毒 软件 并 更 新 到 最 新 病毒 库 等 。 这 些 行为 违反 了 单位 的 信息 化 管理 规定 ， 
也 极 大 地 影响 了 企业 内 部 网 络 的 安全 性 。 

以 往 提 起 信息 安全 ， 人 们 更 多 地 把 注意 力 集中 在 防火 墙 、 防 病毒 、IDS (入 侵 检 测 )、 
网 络 互联 设备 即 对 交换 机 、 集 线 器 和 路 由 器 等 的 管理 上 ， 却 忽略 了 对 网 络 环境 中 的 计算 
单元 一 一 服务 器 、 台 式 机 乃至 便携 机 的 管理 。 正 确 、 全 面 地 认识 终端 桌面 管理 的 发 展 趋 
势 和 技术 特点 ， 是 IT 研发 厂商 面临 的 发 展 抉择 ， 同 时 也 是 企 、 事 业 IT 管理 人 员 和 高 层 
决策 人 员 在 进行 终端 桌面 安全 防护 部 署 时 必须 考虑 的 议题 。 终 端 桌面 安全 管理 技术 的 兴 
起 是 伴随 着 网 络 管理 事务 密集 度 的 增加 ， 作 为 网 络 管理 技术 的 边缘 产物 而 衍生 的 ， 它 同 
传统 安全 防御 体系 的 缺陷 相关 联 ， 是 传统 网 络 安全 防范 体系 的 补充 ， 也 是 未 来 网 络 安全 
防范 体系 重要 的 组 成 部 分 。 因 此 ， 终 端 桌面 安全 管理 技术 无 论 在 现在 还 是 未 来 都 应 当归 
入 基础 网 络 安全 产品 体系 之 列 。 近 两 年 的 安全 防御 调查 也 表明 ， 政 府 、 企 业 单位 中 超过 
80% 的 管理 和 安全 问题 来 自 终端 ， 计 算 机 终端 广泛 涉及 每 个 用 户 ， 由 于 其 分 散 性 、 不 被 
重视 、 安 全 手段 缺乏 的 特点 ， 已 成 为 信息 安全 体系 的 薄弱 环节 。 因 此 ， 网 络 安全 呈现 出 
了 新 的 发 展 趋势 , 安全 战场 已 经 逐步 由 核心 与 主干 的 防护 , 转向 网 络 边缘 的 每 一 个 终端 。 
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建立 桌面 计算 机 安全 管理 系统 的 意义 在 于 解决 大 批量 的 计算 机 安全 管理 问题 。 具 体 
来 说 ， 这 些 问题 包括 加 强 桌面 计算 机 的 安全 性 ， 如 通过 批量 设置 计算 机 的 安全 保护 措施 
提高 桌面 计算 机 的 安全 性 ， 及 时 更 新 桌面 计算 机 的 安全 补丁 ， 减 少 被 攻击 的 可 能 ;实现 
动态 安全 评估 ， 实 时 评估 计算 机 的 安全 状态 及 其 是 否 符合 管理 规定 ， 如 评估 计算 机 的 网 
络 流量 是 否 异常 、 计 算 机 是 否 做 了 非法 操作 〈 拨 号 上 网 、 安 装 游戏 软件 等 ) 及 计算 机 的 
安全 设置 是 否 合理 等 ， 批 量 管理 设置 计算 机 ， 如 进行 批量 的 软件 安装 、 批 量 的 安全 设置 
等 ; 防止 外 来 计算 机 非法 接 入 ， 避 免 网 络 安全 遭受 破坏 或 者 信息 泄密 ;确保 本 单位 的 计 
算 机 使 用 制度 得 到 落实 ， 如 禁止 拨号 上 网 、 禁 止 使 用 外 部 邮箱 、 禁 止 访问 非法 网 站 、 禁 
止 将 单位 机 密 文件 复制 及 发 送 到 外 部 等 ， 出 现 安全 问题 后 ， 可 以 对 有 问题 的 IP/MAC/ 主 
机 名 等 进行 快速 的 定位 ， 实 现 计算 机 的 资产 管理 和 控制 。 


4.12.1 终端 智能 登录 


Windows 终端 能 够 与 多 用 户 的 Windows 2000/XP 系统 一 起 构成 一 套 Thin-Client/ 
Server 体系 。Windows 2000/XP 提供 的 终端 服务 功能 ， 允 许多 个 用 户 连 到 同一 台 服 务 器 ， 
每 一 个 用 户 使 用 终端 ， 与 独立 使 用 PC 一 样 没有 任何 区 别 ， 相 互 之 间 互 不 影响 。 其 内 在 
的 原理 与 传统 终端 一 样 ， 终 端 登录 到 服务 器 上 ， 所 有 的 软件 在 服务 器 上 运行 ， 终 端 仅仅 
是 作为 一 个 输入 输出 设备 而 已 。 与 传统 终端 所 不 同 的 是 , 传统 终端 是 字符 界面 , Windows 
终端 是 Windows 界面 ; 在 传统 终端 上 运行 的 程序 是 UNIX 下 的 应 用 程序 ，Windows 终端 
的 应 用 程序 是 DOS、Windows 95/98/2000/XP; 传统 终端 的 通信 协议 是 简单 的 RS-232 串 
口 通信 协议 ， 而 Windows 终端 是 基于 TCP/IP 之 上 的 ICA/RDP 网 络 通信 协议 ; 传统 终端 
的 通信 硬件 接口 是 RS-232 串口 ，Windows 终端 既 可 以 支持 RS-232 串口 协议 ， 也 可 以 通 
过 内 置 的 网 卡 连接 网 络 。 

Windows 终端 可 以 有 效 地 解决 网 络 管理 同 应 用 需要 之 间 的 矛盾 。 一 方面 ，Windows 
终端 是 Windows 2000/XP 的 标准 端 末 设 备 ， 几 乎 所 有 的 DOS、Windows 下 的 应 用 程序 都 
可 以 不 加 任何 修改 地 继承 使 用 ;， 另 一 方面 ， 使 用 者 无 须 对 硬件 设备 有 什么 了 解 也 可 以 很 
好 地 使 用 。 同 时, 做 为 一 种 高 集成 的 电子 产品 ，Windows 终端 的 零 维护 和 可 靠 性 也 是 PC 
所 无 法 比拟 的 。Windows 终端 以 最 新 的 网 络 技术 为 基础 ， 使 通过 网 络 连 接 到 服务 器 的 
Windows 终端 能 够 全 面 地 实现 个 人 计算 机 的 功能 ， 其 带 来 的 好 处 是 显而易见 的 。 

(1) 组 网 模式 灵活 多 样 ， 既 可 以 在 本 地 局 域 网 络 环境 使 用 ， 也 可 以 在 远程 广域网 模 
式 下 使 用 , 既 可 以 当 作 Windows 终端 来 用 , 也 可 以 当 作 UNIX 终端 使 用 , 还 可 以 在 IBM 
的 AS/400 模式 下 当 作 IBM 的 同步 仿真 终端 使 用 。 如 果 用 户 愿意 ， 在 没有 服务 器 的 情况 
下 , 也 可 以 把 它 当 作 浏 览 器 来 使 用 。 在 一 个 网 络 环境 下 ，Windows 终端 可 以 与 传统 UNIX 
终端 PC 灵活 搭配 ， 组 成 一 个 实用 、 经 济 、 高 效 、 安 全 的 金融 系统 应 用 网 络 。 

(2) 所 有 的 软件 都 在 终端 服务 器 上 运行 ， 终 端 仅 仅 是 作为 显示 输出 和 数据 输入 的 设 
备 , 终端 上 任何 时 刻 断 电 都 不 会 影响 服务 器 上 程序 的 运行 和 数据 安全 ,在 配置 UPS 时 仅 
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给 服务 器 配 上 UPS 便 可 以 了 。 

(3) 正版 的 软件 只 要 在 服务 器 端 安装 一 次 ， 在 整个 系统 中 即 可 以 使 用 ， 大 大 降低 了 
软件 的 初始 购置 成 本 。 

(4) 完全 集中 式 的 网 络 管理 ， 简 化 了 工作 环节 ， 与 传统 的 PC 组 网 方式 相 比 大 大 地 
减少 了 维护 人 员 的 工作 量 ， 一 旦 有 事 ， 网 络 管理 人 员 不 必 到 远 端的 服务 器 端 检修 ， 只 需 
用 一 台 终 端 以 管理 员 身 份 登录 到 服务 器 上 即 可 完成 工作 。 

(5) 大 大 降低 了 总 体 拥有 成 本 。 由 于 Windows 终端 完全 基于 服务 器 运行 的 特性 ， 使 
得 网 络 硬件 升级 换代 的 代价 远 远 低 于 PC 或 无 盘 站 ， 只 需 服务 器 端 适当 升级 即 可 ， 终 端 
本 身 不 必 考 虑 。 

(6) Windows 终端 支持 终端 开机 自动 连接 功能 。 用 户 只 要 一 开机 ， 终 端 便 会 自动 连 
到 服务 器 上 ， 还 可 以 自动 打开 业务 程序 ， 简 化 了 工作 人 员 的 工作 ， 而 且 终 端 只 需 一 次 配 
置 即 可 ， 以 后 几乎 不 需 再 次 进行 配置 ， 应 用 人 员 只 需 简 单 地 培训 即 可 熟练 掌握 和 正常 
使 用 。 

(7) 系统 安全 性 得 到 大 幅 提 高 。Windows 终端 本 身 不 含 硬盘 、 软 驱 和 光驱 ， 所 有 数 
据 都 保存 在 远 端 服务 器 端 ， 有效 地 防止 了 重要 数据 的 丢失 和 泄露 ， 而 且 也 不 会 像 PC 那 
样 容易 从 外 界 染 上 病毒 。 同 时 可 以 提供 多 种 安全 控制 机 制 ， 如 根据 用 户 的 具体 需求 ， 加 
上 IC 卡 安全 模块 等 。 

(8) 具有 较 高 的 安全 性 。 由 于 应 用 程序 和 数据 都 在 服务 器 端 运行 和 处 理 ， 如 果 终 端 
突然 掉 电 ， 数 据 并 不 会 丢失 ， 依 然 保持 在 服务 器 上 ， 终 端 只 要 再 次 连 到 服务 器 上 ， 还 可 
以 从 断 点 处 继续 工作 ， 不 会 影响 正常 的 操作 。 

(9) 整个 系统 安装 调试 简单 、 快 速 。 


4.12.2 ”虚拟 加 密 磁盘 


磁盘 加 密 技术 是 一 种 通过 专门 工具 对 磁盘 的 扇 区 磁道 等 进行 加 密 的 方法 ， 而 对 加 密 
磁盘 的 读 写 必须 通过 这 个 技术 实现 。PointSec 就 是 这 样 一 种 磁盘 加 密 工 具 。 它 嵌入 到 操 
作 系 统 中 ， 对 于 使 用 者 来 说 是 完全 透明 的 。 而 在 使 用 PointSec 加 密 的 磁盘 时 ， 如 果 是 挂 
到 其 他 的 计算 机 上 ， 不 用 PointSec 就 无 法 调 取 数据 。 另 外 ， 使 用 者 在 正常 使 用 时 ， 必 须 
知道 密码 ， 否 则 无 法 进入 被 PointSec 加 密 的 磁盘 中 进行 操作 。 这 种 方式 对 于 防止 硬盘 丢 
失 情 况 下 的 数据 保密 是 很 有 效 的 ， 对 于 企图 不 经 允许 而 打开 计算 机 进行 操作 和 信息 查阅 
也 是 很 有 效 的 。 在 已 经 打开 计算 机 并 进入 了 加 密 磁 盘 的 情况 下 ， 任 何 接触 到 计算 机 的 人 
或 者 在 计算 机 上 运行 的 软件 ， 都 可 以 对 磁盘 进行 操作 ， 本 地 桌面 搜索 工具 也 不 例外 ， 它 
可 以 直接 对 所 有 文件 进行 检索 ， 并 建立 索引 。 如 果 这 个 索引 不 是 建立 在 加 密 磁盘 上 ， 那 
么 ， 本 地 加 密 磁盘 上 的 数据 就 有 可 能 泄露 。 虚 拟 磁盘 技术 经 常 是 将 一 个 文件 映射 为 一 个 
系统 磁盘 ， 通 过 操作 系统 对 虚拟 磁盘 进行 操作 和 对 一 个 正常 的 磁盘 驱动 器 或 逻辑 进行 分 
区 完全 相同 。 虚 拟 磁 盘 技 术 和 PointSec 技术 一 样 ， 在 已 经 打开 虚拟 磁盘 的 情况 下 ， 任 何 
程序 或 操作 计算 机 的 人 都 可 以 浏览 查阅 虚拟 磁盘 中 的 数据 。 本 地 桌面 搜索 工具 可 以 直接 
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对 所 有 文件 进行 检索 ， 并 建立 索引 。 如 果 这 个 索引 不 是 建立 在 加 密 磁盘 上 ， 那 么 ， 本 地 
加 密 磁盘 上 的 数据 同样 会 泄露 。 

基于 PGPdiks 的 虚拟 加 密 盘 的 方法 是 在 操作 系统 上 以 VxD 方 式 增加 设备 管理 的 内 核 
服务 ， 从 而 为 用 户 提 供用 于 保存 电子 文档 的 虚拟 盘 ， 由 于 进行 虚拟 盘 的 电子 文档 均 采 用 
专门 的 技术 进行 加 密 ， 因 此 能 够 较 好 地 解决 其 安全 性 要 求 。 虚 拟 磁盘 系统 的 基本 操作 如 
下 : 首先 在 物理 硬盘 上 建立 卷 标 文件 ; 再 以 卷 标 文件 为 基础 ,设置 虚拟 硬盘 的 装载 参数 ; 
待 虚拟 硬盘 装载 后 ， 虚 拟 硬盘 上 的 所 有 电子 文档 的 存 取 操作 都 将 交 给 虚拟 硬盘 驱动 程序 
完成 。 通 过 在 虚拟 硬盘 驱动 程序 中 设置 专门 的 加 解密 程序 ， 来 保证 所 存 取 的 电子 文档 和 
数据 的 加 解密 操作 。 用 程序 通过 使 用 动态 加 载 的 VxD， 可 以 间接 获得 对 Win9X/2000 系 
统 的 控制 权 ，Win9X/2000 使 用 32 位 可 安装 文件 系统 (FIS)， 由 可 安装 文件 系统 管理 器 
(IFS Manager) 来 协调 对 文件 系统 和 设备 的 访问 ， 它 接收 以 Win32API 函数 调用 形式 向 
系统 发 出 文件 IO 请 求 ， 再 将 请 求 转 给 文件 系统 驱动 程序 FSD， 由 它 调 用 低级 别 的 IOS 
系统 实现 最 终 访问 。 在 完成 文件 IO API 函数 参数 的 装配 之 后 转 相 应 的 FSD 执行 之 前 ， 
它 会 调用 一 个 Hooker 函数 。 通 过 安装 自己 的 Hooker 函数 ， 就 可 以 截获 系统 内 对 特定 文 
件 IO 的 API 调用 ， 并 进行 相应 的 加 解密 处 理 ， 从 而 实现 文件 的 安全 存储 。 但 从 用 户 角 
度 来 说 , 完全 屏蔽 了 底层 的 处 理 过 程 ， 当 加 载 上 该 虚拟 磁盘 时 ,与 使 用 普通 的 磁盘 一 样 ， 
用 户 可 以 很 方便 地 进行 各 种 操作 。 而 装载 虚拟 硬盘 时 , 首先 将 容器 文件 的 前 2048 字 节 数 
据 内 容 读 入 缓冲 区 ， 读 入 用 户 的 密码 组 ， 可 包括 160 个 字符 。 采 用 SHA-1 等 算法 获得 密 
码 组 的 摘要 内 容 ， 以 密码 组 的 摘要 值 作为 加 密 密 钥 。 设 置 加 密 算法 的 初始 向 量 ， 得 到 加 
密 密 钥 和 初始 向 量 后 , 应 用 加 密 算法 将 缓冲 区 中 读 入 的 2048 字 节 数据 进行 解密 。 在 缓冲 
区 的 确定 位 置 获得 主 密 钥 ， 其 长 度 可 变 ， 可 达 256 位 。 用 主 密 钥 的 实际 字 长 重新 设置 加 
密 算法 的 初始 向 量 ， 用 主 密 钥 将 两 组 相同 的 随机 数 进行 加 密 ， 并 写 入 两 个 不 同 的 区 。 重 
新 装载 时 ， 需 要 将 这 两 个 区 中 的 内 容 读 出 。 利 用 前 几 步 得 到 的 密 钥 和 初始 向 量 ， 并 通过 
相应 的 加 密 算法 进行 解密 。 如 果 对 两 个 区 解密 的 结果 是 相同 的 ， 则 系统 确认 主 密 钥 和 初 
始 向 量 组 是 合法 的 ， 此 时 可 以 用 它 初始 化 虚拟 盘 ; 和 否则， 直接 返回 错误 。 初 始 化 之 后 ， 
对 虚拟 盘 的 操作 将 交 给 扩展 的 设备 管理 VxD 处 理 。 虚 拟 磁盘 系统 主要 包括 用 户 界面 模 
块 、 密 码 处 理 模 块 和 虚拟 驱动 程序 模块 三 部 分 。 其 结构 及 用 户 界面 模块 如 图 4-131 和 图 
4-132 所 示 。 


主 调 模 块 


用 户 界 面 一 一 一 | ”密码 处 理 


| | 
读 写 卷 标 


4-131 虚拟 磁盘 系统 结构 
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用 户 界面 


图 4-132 用 户 界 面 模块 


用 户 界 面 主要 是 对 该 虚拟 磁盘 进行 管理 ， 包 括 以 下 功能 。 

(1) 新 建 卷 标 。 新 建 是 指 创建 一 个 新 的 安全 卷 标 和 一 个 相关 文件 ， 以 加 密 格式 存储 
数据 。 用 户 可 以 定义 新 卷 标的 名 字 和 存储 路 径 ， 但 需要 选择 所 建 虚 拟 盘 的 大 小 、 单 位 、 
驱动 符 、 密 钥 加 密 算 法 和 数据 加 密 算法 等 信息 。 同 时 ， 系 统 要求 用 户 移动 鼠标 或 散 击 键 
盘 取 得 随机 数 ， 将 其 作为 随机 数 种 子 ， 然 后 用 随机 数 生成 算法 生成 一 个 会 话 密 钥 。 用 系 
统 口令 作为 密 钥 ， 对 会 话 密 钥 进行 加 密 ， 将 会 话 密 钥 密 文 存放 在 卷 标 文件 的 头 部 。 

(2) 加 载 卷 标 。 当 用 户 工作 时 ， 首 先进 行 加 载 ， 选 择 想 要 加 载 的 卷 标 ， 按 要 求 输入 
对 应 的 用 户口 令 ， 并 读 出 证 书 内 容 ， 就 可 以 加 载 到 某 个 虚拟 驱动 器 上 ， 然 后 可 以 在 该 驱 
动 器 中 进行 操作 。 

(3) 撮 载 卷 标 。 打 开 一 个 PGPdiks 卷 标 称 之 为 加 载 此 卷 标 。 同 样 ， 关 闭卷 标 称 之 为 
和 卸载。 每 次 用 户 使 用 完 之 后 ， 应 该 和 卸载， 否则 可 能 会 被 别人 查看 到 计算 机 上 的 数据 。 一 
且 外 载 了 卷 标 ， 其 内 容 就 被 锁 在 了 加 密 文件 中 。 卷 标的 内 容 存储 在 加 密 文件 中 ， 直 到 再 
一 次 加 载 ， 否 则 其 内 容 是 不 可 访问 的 。 

(4) 增加 口令 。 若 允许 其 他 人 访问 自己 的 加 密 磁盘 ， 则 只 赋 给 读 的 权利 ， 不 允许 其 
修改 ， 可 以 为 他 设置 一 个 不 同 的 口令 ， 以 只 读 方式 访问 该 虚拟 磁盘 。 

(5) 修改 口令 。 首 先 输入 要 修改 的 口令 ， 然 后 输入 新 口令 ， 原 口令 就 失效 了 。 

(6) 删除 口令 。 输 入 要 删除 的 口令 ， 删 除 后 该 口令 就 失效 了 。 

(7) 定义 属性 。 定 义 卸 载 卷 标的 各 种 方式 。 

密码 处 理 模块 主要 是 实现 密码 学 的 一 些 功能 ， 包 括 的 功能 如 下 。 

(1) 产生 随机 数 。PGP 使 用 了 复杂 的 和 强大 的 模式 为 不 同 的 目的 生成 真 随机 数 和 伪 
随机 数 。 

(2) 生成 密 钥 。 用 前 面 产 生 的 伪 随 机 数 来 生成 会 话 密 钥 ， 用 来 加 密 虚 拟 磁 盘 内 容 。 

(3) 加 解密 处 理 。 使 用 合适 的 加 密 算 法 ， 在 对 虚拟 磁盘 做 读 写 操作 时 ， 需 要 对 数据 
进行 加 解密 ， 调 用 相应 的 函数 来 真正 实现 加 解密 操作 。 

在 Win9X 中 对 硬盘 上 的 文件 系统 的 访问 采用 分 层 模 型 , 上 层 的 驱动 程序 调用 低层 的 
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驱动 程序 ， 不 同 层 的 驱动 程序 完成 不 同 的 功能 。 最 底层 为 硬盘 驱动 程序 ， 它 直接 控制 硬 
件 。 上 层 的 驱动 程序 调用 硬盘 驱动 程序 访问 硬盘 ， 可 以 把 硬盘 看 作 一 种 连续 存储 介质 ， 
而 不 必 关 心 硬盘 的 物理 特性 。 硬 盘 上 可 能 存在 不 同 的 文件 系统 ， 如 FAT 格式 或 NTFS 格 
式 。 文 件 系统 驱动 程序 向 上 提供 访问 文件 系统 的 接口 ， 对 上 层 调用 者 来 说 ， 不 必 理 会 所 
访问 的 硬盘 是 什么 格式 。 


4.12.3 终端 硬件 端口 控制 


USB (Universal Serial Bus， 通 用 串 行 总 线 ) 用 于 将 鼠标 、 键 盘 、 移 动 硬盘 、 数 码 相 
机 、VIP 电话 或 打印 机 等 外 设 连接 到 PC。 理 论 上 说 ， 单 个 USB host 控制 器 可 以 连接 最 
多 127 个 设备 。USB 目前 有 两 个 版 本 : USB 1.1， 最 高 数据 传输 率 为 12Mb/s; USB 2.0， 
最 高 数据 传输 率 提高 到 480Mb/s。 二 者 的 物理 接口 完全 一 致 ， 数 据 传输 率 上 的 差别 完全 
由 PC 的 USB host 控制 器 以 及 USB 设备 决定 .USB 可 以 通过 连接 线 为 设备 提供 最 高 5V， 
500mA 的 电力 。USB 接口 有 三 种 类 型 : 一 般 用 于 PC 的 TypeA、 用 于 USB 设备 的 Type 
B 和 用 于 数码 相机 、 数 码 摄像 机 、 测 量 仪器 以 及 移动 硬盘 等 设备 的 Mini-USB。 通过 USB 
接口 泄密 已 经 是 计算 机 内 部 网 络 信息 泄露 发 生 的 一 个 重要 途径 ， 随 着 科技 的 迅速 发 展 ， 
大 量 的 USB 端口 设备 出 现 ， 如 U 盘 、 移 动 硬盘 、 移 动 刻录 机 以 及 其 他 USB 接口 的 存储 
设备 ， 这 在 方便 了 信息 传递 的 同时 ， 也 为 将 信息 从 计算 机 本 机 或 者 网 络 内 部 的 信息 非法 
复制 出 去 创造 了 一 个 方便 的 条 件 。 涉 密 USB 移动 存储 介质 和 非 密 USB 移动 存储 介质 交 
叉 使 用 ,应 用 于 不 同 密级 、 不 同安 全 域 的 USB 移动 存储 介质 交叉 使 用 ， 都 会 带 来 泄密 的 
可 能 。 很 多 病毒 利用 USB 移动 存储 介质 做 为 传播 媒介 ， 通 过 病毒 的 传播 而 造成 泄密 。 移 
动 存储 介质 发 生 故 障 时 ， 存 有 涉 密 信息 的 介质 不 经 处 理 或 无 人 监督 就 带 出 修理 ， 或 修理 
时 没有 人 员 在 场 监督 ， 而 造成 泄密 。 为 防止 非法 用 户 从 企业 内 部 和 个 人 PC 上 盗 取 重 要 
文件 或 资料 ， 对 软驱 、 光 驱 、USB 接口 上 的 存储 设备 进行 监控 的 任务 迫在眉睫 。USB 的 
优点 在 于 USB 控制 器 只 占用 一 个 IQ， 而 其 他 联机 的 USB 设备 则 都 不 需 耻 Q。 不 需要 
使 用 跳 线 去 调整 或 修改 硬件 设置 , 来 指定 要 使 用 哪 一 个 USB 设备 。 在 设置 硬件 上 也 非常 
的 容易 ， 即 插 即 用 (plug-and-play) 操作 系统 会 自动 安装 必要 的 驱动 程序 。USB 设备 都 
使 用 相同 的 接头 ， 减 少 了 消费 者 的 麻烦 。USB 能 在 同一 端口 上 支持 多 台 设 备 。 技 术 上 一 
个 USB 端口 能 够 支持 最 大 127 台 设 备 同 时 联机 ， 不 过 要 用 USB Hub 这 类 辅助 装置 把 这 
些 设备 都 接 上 。USB 的 带宽 是 由 整个 通道 上 的 设备 共享 的 ， 所 以 要 是 部 分 外 设 保留 了 部 
分 的 带宽 ， 能 安装 的 外 设 数 也 自然 跟着 减少 。 为 了 获得 更 高 的 USB 带宽 , 需要 增加 额外 
的 USB 端口 数 ， 通 常 通过 加 装 PCI 接口 卡 来 增加 可 用 的 USB 端口 数 。USB 界面 设备 主 
要 有 键盘 、 鼠 标 、 游 戏 控制 器 、 摄 像 机 、 存 储 装置 、 扫 描 仪 和 其 他 外 设 。 计 算 机 上 所 需 
要 的 外 设 ， 大 多 都 有 USB 的 版 本 。 

IEEE 1394 具有 廉价 、 占 用 空间 小 、 速 度 快 、 开 放 式 标准 、 支 持 热 插 拔 、 可 扩展 的 
数据 传输 速率 、 拓 扑 结构 灵活 多 样 、 完 全 数字 兼容 、 可 建立 对 等 网 络 、 同 时 支持 同步 和 
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异步 两 种 数据 传输 模式 等 特点 。IEEE 1394 网 络 具 有 以 下 主要 特点 和 局 限 。 

(1) 节 点 之 间 的 最 大 距离 不 能 超过 4.5m, 可 以 使 用 IEEE 1394 中 继 器 克服 这 一 局 限 ， 
一 台 IEEE 1394 中 继 器 可 以 将 节点 之 间 的 距离 延长 4.5m。 因 为 IEEE 1394 最 多 只 能 支持 
16 层 树 形 网 段 ， 所 以 两 个 端点 之 间 的 最 大 距离 为 72m。 

(2) 每 个 网 段 最 多 可 以 连接 63 台 设 备 , 每 台 [EEE 1394 可 以 连接 10231394 个 网 段 ， 
从 而 可 以 实现 各 种 复杂 的 网 络 结构 。 不 过 考虑 到 两 个 节点 之 间 4.5m 的 最 大 距离 限制 ， 
IEEE 1394 并 不 适合 在 广域网 中 使 用 。 

(3) 因为 IEEE 1394 设备 支持 热 插 拔 ， 所 以 可 以 在 任何 时 候 向 IEEE 1394 网 络 添加 
或 拆除 设备 ， 既 不 用 担心 影响 数据 的 传输 ， 也 不 需要 进行 重新 配置 系统 ， 可 以 根据 变化 
的 环境 进行 自动 调节 。 

(4) IEEE 1394 网 络 使 用 的 是 对 等 结构 ， 不 需要 设置 专门 的 服务 器 ， 不 过 对 于 那些 
集中 进行 管理 或 数据 存储 的 系统 来 说 ，IEEE 1394 并 不 是 一 个 理想 的 选择 。 

(5) 同一 网 络 中 的 数据 可 以 不 同 的 速度 进行 传输 , 目前 可 以 实现 的 速度 为 100， 200 
和 400Mbps。 这 一 特点 决定 了 在 设计 网 络 时 ， 一 定 要 考虑 到 不 同 设备 的 传输 性 能 。 如 果 
在 两 台 传输 速度 可 达 400Mbps 的 设备 之 间 放 置 一 台 100Mbps 的 设备 ， 无 疑 会 使 实际 的 
传输 速度 大 打折 扣 。 

IEEE 1394 在 技术 上 做 了 进一步 的 改进 ， 在 保持 与 已 有 产品 兼容 的 同时 ， 使 IEEE 
1394 的 互 操作 性 和 控制 性 能 得 到 了 较 大 的 提高 。 与 前 一 次 修改 不 同 ，IEEE 1394 代表 的 
是 一 次 巨大 的 变革 ， 它 承诺 将 把 数据 传输 速度 提高 到 800Mbps 和 1.6Gbps， 而 且 新 版 本 
的 设计 人 员 称 这 种 体系 结构 的 底层 数据 速率 能 达到 3.2Gbps 甚至 更 快 。 同 时 新 版 标准 还 
克服 了 旧版 本 允许 的 最 大 电缆 长 度 的 局 限 性 ， 新 的 传输 介质 和 增强 的 仲裁 技术 将 使 每 个 
中 继 段 的 最 大 距离 得 以 大 大 加 长 ， 从 原来 的 小 于 Sm 延长 到 超过 100m。 此 外 ， 新 版 本 还 
承诺 提高 系统 的 管理 能 力 , 如 在 系统 重新 启动 后 能 够 以 更 快 的 速度 对 总 线 进行 重新 配置 。 
一 个 完整 的 IEEE 1394 接口 分 为 两 个 硬件 层 和 三 个 协议 层 ， 其 中 物理 层 和 连接 硬件 层 的 
实现 可 以 是 一 组 芯片 或 者 一 块 单独 的 芯片 。 最 底层 的 协议 层 ， 即 传输 层 ， 通 常 由 一 个 固 
件 来 实现 ， 其 他 各 协议 层 则 完全 以 软件 的 形式 实现 。 由 于 引进 了 一 种 称 为 Betamode 的 
新 的 物理 层 配置 ，IEEE 1394 实现 了 较 高 的 操作 速度 。Betamode 是 在 IBM 的 8810B 编 
码 之 上 进行 了 改进 ，8810B 编码 过 去 用 在 其 他 一 些 高 性 能 的 串 行 总 线 技 术 中 。 新 的 编码 
机 制 中 增添 了 一 些 控制 代码 ， 在 确定 传输 内 容 的 完整 性 之 后 ， 这 些 控制 代码 可 以 很 容易 
从 数据 中 分 离 出 来 。 

作为 一 种 数据 传输 的 开放 式 技术 标准 ，IEEE 1394 被 应 用 在 众多 的 领域 。 目 前 IEEE 
1394 技术 使 用 最 广 的 是 数字 成 像 领域 , 支持 的 产品 包括 数字 相机 或 摄像 机 等 。 无论 是 在 
计算 机 硬盘 还 是 网 络 互 连 等 方面 都 有 其 广阔 的 用 武之 地 ， 最 近 Evergreen 公司 推出 的 
HotDrive 硬盘 就 采用 了 IEEE 1394 技术 。 尽 管 IEEE 1394 目前 还 没有 被 PC 厂商 所 广泛 
采用 ， 但 是 其 在 数字 成 像 领域 内 的 重要 作用 已 经 被 世人 所 关注 。 作 为 业界 领头 羊 的 
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SONY, 身先士卒 地 在 数字 相机 、 数 字 摄 像 机 、 笔 记 本 计算 机 甚至 桌面 PC 等 众多 的 产品 
中 对 IEEE 1394 技术 提供 了 全 面 的 支持 。 作 为 IEEE 1394 标准 开发 者 的 Apple 公司 对 其 
也 是 倾注 了 极 大 的 心血 , 此 外 软件 业 巨头 Microsoft 也 已 经 开始 了 面向 IEEE 1394 的 产品 
开发 ， 无 疑 这 将 会 大 大 推动 下 EE 1394 技术 的 普及 和 推广 。 

因为 IEEE 1394 和 USB 使 用 的 都 是 串 行 接口 , 而且 都 支持 热 插 拔 ， 所 以 人 们 很 容易 
将 两 者 进行 对 比 。 其 实 两 种 技术 之 间 还 是 存在 着 非常 显著 的 区 别 。 不 能 将 其 视 为 简单 的 
竞争 关系 , 它们 都 有 各 自 的 适用 领域 .USB 1.1 支持 的 最 大 数据 传输 速度 为 1 2Mbps, USB 
2.0 支持 的 最 大 数据 传输 速度 为 480Mbps。USB 需要 主机 CPU 对 数据 传输 进行 控制 。 与 
USB 不 同 ，IEEE 1394 允许 每 台 设 备 的 最 大 传输 速度 可 以 达到 400Mbps、800Mbps、 
1.6Gbps 甚至 3.2Gbps， 不 需要 任何 主机 进行 控制 ， 可 以 同时 支持 同步 和 异步 传输 模式 。 
因此 , 可 以 看 出 USB 的 市 场 定 位 是 那些 对 数据 带宽 要 求 相对 较 低 的 产品 , 如 鼠标 和 打印 
机 等 ， 而 IEEE 1394 则 更 适合 于 那些 数据 传输 量 更 大 的 设备 ， 如 视频 设备 或 计算 机 硬 
盘 等 。 

IEEE 1394 开放 式 主 控制 器 接口 OHCI 是 向 所 有 准备 支持 IEEE 1394 技术 的 厂商 提 
供 的 开放 式 标准 。OHCI 由 物理 层 、 链 路 层 、 交 易 层 和 串 行 总 线 管 理 4 个 部 分 组 成 。 物 
理 层 提供 设备 和 线 缆 之 间 的 电气 和 机 械 连 接 、 处 理 数 据 传 输 和 接收 、 确 保 所 有 设备 可 以 
正常 访问 总 线 ， 物 理 层 功能 由 硬件 实现 。 链 路 层 提供 同步 和 异步 模式 下 的 数据 包 接收 、 
确认 、 定 址 、 数 据 校 验 以 及 数据 分 帧 等 ， 链 路 层 功 能 由 硬件 实现 。 交 易 层 只 处 理 异 步 数 
据 包 ， 提 供 Read、Write 和 Lock 命令 ，Read 命令 向 命令 发 出 方 传 回 数据 ，Write 命令 向 
接收 方 发 送 数据 ，Lock 命令 通过 生成 往返 通路 实现 Read 和 Write 功能 ， 交 易 层 功能 由 
固件 实现 。 串 行 总 线 管理 提供 全 部 总 线 的 控制 功能 ， 包 括 确保 向 所 有 总 线 连接 设备 的 电 
力 供应 ， 优 化 定时 机 制 ， 分 配 同 步 通 道 ID， 以 及 处 理 基 本 错误 提示 等 。 在 实际 操作 过 程 
中 ， 设 备 必 须 首先 要 求 控制 物理 层 。 如 果 进 行 异步 传输 数据 ， 发 送 和 接收 方 互 换 地 址 ， 
然后 进行 数据 传输 。 当 接收 方 收 到 数据 包 时 ， 会 向 发 送 方 传 回 确认 信息 。 如 果 接 收 方 没 
有 收 到 数据 包 ， 则 启动 错误 修复 机 制 。 如 果 进 行 同步 传输 ， 发 送 方 首先 要 求 获 得 一 个 特 
定 带 宽 的 数据 通道 ， 然 后 将 通道 ID 附加 在 所 要 传输 的 数据 中 一 起 发 送 ， 接 收 方 对 数据 
流 进行 检测 ， 只 有 当 发 现 具有 特定 ID 号 的 数据 时 才 进 行 接收 。 同 步 数 据 传输 模式 在 优 
先 级 上 要 高 于 异步 传输 模式 ， 当 一 台 设 备 发 送 同步 数据 时 , 将 获得 一 个 专用 的 数据 通道 ， 
直到 数据 传送 完毕 为 止 。 而 同一 时 刻 发 生 的 异步 数据 传输 则 只 能 使 用 当前 所 剩 的 可 用 带 
宽 。 上 述 机 制 充 分 保证 了 像 视 频 流 这 样 的 对 时 间 延 迟 要 求 很 高 的 应 用 ， 可 以 在 不 受 其 他 
应 用 干扰 的 情况 下 实时 完成 。 在 OHCI 规范 中 ， 没 有 任何 对 数据 调制 或 解 调 的 规定 ， 这 
是 因为 EEE 1394 是 一 种 全 数字 协议 ， 在 数据 传输 过 程 中 不 需要 进行 任何 的 数 模 转换 ， 
从 而 大 大 节省 了 系统 开销 。 

随 着 PC 行业 与 通信 和 其 他 媒体 之 间 的 合作 逐步 深入 ， 人 们 越 来 越 需要 一 个 统一 的 
接口 标准 。IEEE 1394 可 以 满足 所 有 各 方 的 需要 ， 而 且 成 本 低 ， 易 于 实现 。IEEE 1394 已 
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经 在 多 媒体 领域 被 广 为 接 受 ， 相 信 在 急需 一 种 可 以 把 内 部 设备 如 硬盘 和 外 部 设备 如 数字 
相机 连 为 一 体 的 新 型 高 速 总 线 的 PC 市 场 ，IEEE 1394 的 前 景 也 必 将 是 一 片 光明 。 目 前 
的 问题 不 是 IEEE 1394 是 否 能 够 被 接受 ， 而 是 众多 的 硬盘 和 主板 厂商 是 否 愿 意 做 出 转变 
的 抉择 ， 一 些 主板 厂商 已 经 开始 在 其 产品 中 融入 IEEE 1394 技术 ， 但 是 好 像 硬盘 厂商 的 
步伐 有 些 滞后 ， 不 过 完全 有 理由 相信 IEEE 1394 有 一 天 终 将 会 成 为 新 的 总 线 标准 。 

PCMCIA (Personal Computer Memory Card International Association) 又 称 PC card， 
有 Type T、Type 卫 和 Type 了 H 三 种 标准 ,分 别 规定 了 所 用 PC 卡 的 尺寸 及 相应 的 电路 等 。 
当前 有 三 种 PC 卡 标准 ， 它 们 的 长 宽 都 是 85.6mm X54mm， 但 厚度 不 一 样 : Type I 是 最 
早 的 3.3mm 厚 卡 ;， Type 林 将 厚度 增 至 5.0mm; Type 班 则 进一步 增 大 厚度 到 10.5mm。 
一 段 时 间 以 来 ,Type 工 几乎 只 在 内 存 设 备 中 应 用 。 但 最 近 Modem 和 其 他 设备 也 开始 相继 
采用 TypeI 标 准 。Type 林 是 当今 最 占 优势 的 一 种 尺寸 , 用 于 大 多 数 设备 。 更 厚 的 Type II 
卡 则 主要 用 于 微型 硬盘 驱动 器 ， 这 种 驱动 器 已 变 得 越 来 越 普遍 。 由 于 这 三 种 卡 共 用 同样 
的 总 线 连接 器 , 所 以 较 薄 的 卡 可 顺利 安装 到 为 较 厚 的 卡 设计 的 插 槽 。 制订 自己 的 标准 时 ， 
PCMCIA 采纳 了 “日 本 电子 工业 开发 协会 (JEIDA)” 的 一 些 设计 思想 ， 规 定 了 内 存 卡 的 
物理 设计 方案 、 计 算 机 插 槽 设计 方案 、 电 气 接口 以 及 相关 软件 ， 该 标准 最 新 的 版 本 已 集 
成 了 PCMCIA 和 JEIDA， 使 产品 间 的 兼容 性 有 了 进一步 的 提高 。PC 卡 现 已 应 用 于 多 种 
场合 ， 其 中 包括 几 种 类 型 的 RAM 内 存 、 预 编程 ROM 卡 、Modem、 声 卡 、 软 盘 控 制 器 、 
硬盘 驱动 器 、CD-ROM 和 SCSI 控制 器 、 全 球 定位 系统 (GPS) 卡 、 数 据 采 集 卡 、LAN 
卡 、 传 呼 机 等 。 还 处 在 发 展 初期 ，PCMCIA 市 场 就 显示 出 蓬勃 发 展 的 气象 。PCMCIA 标 
准 使 PC 卡 能 在 多 种 类 型 的 计算 机 中 使 用 ， 无 论 它 采用 的 是 何 种 微 处 理 器 。PC 卡 不 仅 可 
以 插 到 计算 机 上 ， 也 可 用 于 其 他 数字 化 设备 ， 如 测试 仪器 、 数 码 成 像 设备 及 工业 控制 器 
等 等 。 系 统制 造 商 、 周 边 设备 制造 商 、 零 售 商 和 系统 用 户 均 可 从 中 获 益 。 随 着 便携 式 计 
算 机 系统 ( 含 笔记 本 、 亚 笔记 本 、 掌 上 型 以 及 PDA) 的 广泛 应 用 ， 对 便携 式 扩展 设备 的 
要 求 也 越 来 越 迫 切 。 在 扩展 卡 标准 制定 之 前 ， 计 算 机 能 采用 的 周边 设备 (如 插 卡 式 内 存 
和 Modem 等 ) 通常 都 是 专用 的 ， 不 可 换 成 其 他 厂家 的 类 似 产品 。 许 多 像 Modem 这 样 的 
设备 更 是 只 能 插入 一 台 特 定型 号 的 计算 机 , 即便 同 厂 出 品 的 其 他 型 号 也 不 能 使 用 。 通常， 
这 些 周边 设备 并 不 设计 成 可 与 其 他 计算 机 互 换 ， 而 是 作为 一 种 固定 设计 提供 ， 只 适合 最 
初 装 配 的 那 种 计算 机 。 

PCMCIA 标准 的 问世 已 有 些 时 日 ， 目 前 已 出 至 第 三 版 。 其 间 进 行 了 大 量 必 要 的 变动 
与 改进 ， 以 适应 系统 和 PC 卡 制造 商 不 断 变 化 的 需求 。 PCMCIA 标准 的 发 展 已 完全 超出 
了 最 初 定义 内 存 卡 的 范围 ,现在 包括 的 外 设 类 型 有 存储 器 类 (硬盘 驱动 器 、 内 存 卡 )、 接 
口 类 (CDROM/DVD 接口 、 并 串口 、 扩 展 接 口 卡 )、 网 络 通 信 类 (以 太 / 令 牌 网 卡 、 无 线 / 
红外 局 域 网 卡 、Modem 卡 、ISDN 卡 、 移 动 电话 卡 ) 和 多 媒体 类 (声卡 、 视 卡 、 游 戏 摇 
杆 卡 、 电 视 / 广 播 接收 卡 及 视讯 会 议 卡 等 )。 最 早 的 版 本 是 1.0， 建 立 的 标准 主要 面向 类 似 
现在 的 RAM 卡 那 样 的 内 存 卡 。2.0 到 2.1 版 则 增加 了 “ 卡 和 插 槽 服务 (Card and Socket 
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Services)” 软 件 规范 、ATA (AT 附件 ， 涉 及 PC 卡 上 的 IDE 驱动 器 接口 ) 规范 和 AIMS 
(自动 索引 海量 存储 ， 是 一 种 在 PC 卡 上 保存 图 像 和 多 媒体 数据 的 标准 ， 通 常用 于 照 / 摄 
像 技术 ) 规范 。 最 新 的 PCMCIA 版 本 实际 叫做 PC Card Specification (PC 卡 规 格 )， 有 时 
也 不 十 分 恰当 地 称 为 “3.0 版 "。 这 一 版 本 提供 了 对 DMA (直接 内 存 存 取 )、 更 高 速 多 媒 
体 应 用 、 即 插 即 用 、 多 功能 卡 以 及 CardBus 的 支持 。 这 一 版 本 也 允许 用 3.3V 的 逻辑 电压 
设计 PC 卡 和 系统 。 由 于 能 节省 电池 供电 设备 的 能 源 , 3.3V 逻辑 电 平日 趋 流行 .PCMCIA 
标准 的 每 一 次 新 发 布 ， 都 力求 做 到 与 旧版 本 保持 向 后 兼容 。CardBus 对 PCMCIA 总 线 结 
构 进行 了 重新 定义 和 改进 ， 但 仍 可 回复 到 以 前 在 第 1 和 第 2 版 制订 的 标准 。CardBus 的 
主要 目的 是 将 PCMCIA 总 线 扩展 到 更 高 的 速度 ， 以 便 连接 功能 更 强 的 设备 ， 并 提供 对 
32 位 IO 及 内 存 数 据 通道 的 支持 。 它 包括 了 一 个 新 的 屏蔽 总 线 连 接 器 , 且 不 可 将 CardBus 
卡 插 入 为 2.x 或 更 旧版 本 设计 的 上 一 代 系 统 。 

在 大 多 数 提供 了 PC 卡 插 槽 的 新 计算 机 中 , 同时 采用 了 卡 和 插 槽 服务 (Card and Socket 
Services) 软件 ， 在 计算 机 与 PC 卡 之 间 提 供 一 个 标准 化 的 软件 接口 。 简 单 地 说 ， 卡 和 插 
槽 服务 软件 之 于 PC 卡 , 便 如 同 DOS 和 BIOS 之 于 PC。 初级 系统 仅 用 插 槽 服务 来 实现 与 
PCMCIA 硬件 的 连接 ， 需 为 每 种 类 型 的 PC 卡 安装 专用 的 驱动 程序 。 而 在 某 些 新 操作 系 
统 中 〈 如 Win95)， 已 集成 了 Card 和 Socket Services 的 功能 。 若 无 意外 ， 这 似乎 应 成 为 
未 来 的 一 种 趋势 ， 可 将 安装 时 的 麻烦 减轻 到 最 低 程度 。 但 是 ， 无 论 如 何 都 要 为 某 些 PC 
卡 提供 独立 的 设备 驱动 程序 ， 因 为 没有 一 种 操作 系统 能 预测 到 未 来 PC 的 每 一 项 功能 与 
配置 。 大 多 数 计算 机 系统 也 针对 PC 卡 的 热 插 拔 进行 了 特殊 设计 〈 在 不 关闭 计算 机 电源 
的 情况 下 插 拔 PC 卡 ), 使 用 户 在 不 打 断 自己 工作 或 者 不 退出 当前 程序 的 前 提 下 连接 或 断 
开设 备 。 例 如 ， 可 拔 掉 Modem 卡 ， 重 新 插入 一 张 RAM 卡 ， 不 必 为 此 而 关闭 计算 机 。 新 
卡 装 好 以 后 ， 计 算 机 的 插 槽 硬件 会 发 出 相应 的 通知 ， 以 便 系统 接纳 新 的 周边 设备 。 相 反 ， 
若 将 卡 拔 掉 ， 硬 件 会 侦 测 到 这 一 情况 ， 并 通知 软件 不 可 再 使 用 该 卡 和 自动 采取 适当 的 行 
动 。 一 旦 插入 或 拔 掉 一 张 卡 ， 许 多 计算 机 都 会 用 自己 的 喇叭 发 出 熟悉 的 哗 哗 声 。 尽 管 PC 
卡 制造 商 遵守 的 规范 已 进行 了 兼容 性 方面 的 全 面 设 计 ， 但 仍 应 注意 到 许多 计算 机 系统 并 
不 一 定 采 用 的 是 最 新 软件 版 本 〈Card 和 Socket Services)。 某 些 情 况 下 ， 当 新 型 PC 卡 与 
旧版 本 的 “ 卡 和 插 槽 服务 ”软件 共用 时 ， 会 出 现 兼容 性 方面 的 问题 。 有 些 PC 卡 产品 则 
配套 提供 了 “ 卡 和 插 槽 服务 ”的 最 新 版 备份 ， 一 旦 现 有 软件 属于 过 期 版 本 ， 且 侦 测 到 兼 
容 问 题 ， 就 会 自动 安装 新 版 本 的 服务 。 新 版 本 的 “ 卡 和 插 槽 服务 ”软件 通常 也 可 以 从 计 
算 机 厂商 以 及 其 他 公司 获得 ， 正 如 早先 指出 的 那样 ， 时 下 最 新 的 潮流 是 将 “ 卡 和 插 槽 服 
务 ” 的 功能 直接 集成 到 操作 系统 内 部 。 

目前 市 场 上 的 桌面 安全 系统 主要 有 信安 世纪 Desksafe 2.0、 清 华 紫 光 S 锁 、 华 为 聚 
合式 桌面 安全 解决 方案 、Broadview DCC 桌面 安全 解决 方案 和 趋势 科技 推广 企业 桌面 安 
全 解决 方案 等 。 

Desksafe 2.0 是 一 款 面向 政府 、 企业 的 桌面 安全 产品 , 能 够 实现 针对 文件 与 目录 的 安 
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全 功能 文件 的 加 密 和 签名 、 文 件 的 解密 和 验证 、 目 录 的 加 密 和 签名 、 目 录 的 解密 和 验证 
和 文件 安全 删除 。DeskSafe 软件 套件 的 MailSafe 组 件 是 电子 邮件 的 安全 组 件 ， 主 要 功能 
有 发 送 加 密 邮件 、 发 送 签名 邮件 、 收 取 阅 读 加 密 邮 件 、 验 证 阅读 签名 邮件 、 并 能 通过 文 
件 安全 模块 加 密 、 解 密 、 签 名 、 验 签名 附件 等 。DeskSafe 软件 套件 的 MailSafe 安装 后 在 
浏览 器 工具 栏 产 生 加 密 和 签名 动作 按钮 ， 用 户 只 需 选择 这 两 个 按钮 即 可 发 送 安 全 的 电子 
邮件 ， 无 须 改变 以 前 的 使 用 习惯 。 另 外 ，DeskSafe 能 够 自动 到 指定 的 服务 器 寻 取 接收 者 
的 数字 证 书 ， 无 须 用 户 烦琐 的 手工 搜索 、 导 入 等 操作 。DeskSafe 在 支持 微软 操作 系统 的 
书库 的 同时 ， 还 能 够 支持 USB-KEY 密 钥 存储 能 够 带 给 用 户 更 高 的 安全 性 。 该 产品 为 基 
于 Interet/Imtranet 的 电子 邮件 用 户 建立 起 了 一 种 易 用 的 、 岂 新 的 、 可 信赖 的 系统 ， 防 止 
了 电子 邮件 中 重要 信息 的 泄露 和 失 密 ， 给 那些 希望 保护 自己 邮件 信息 安全 的 用 户 提供 了 
完美 的 选择 。 

清华 紫光 S 锁 是 一 种 保护 计算 机 重要 文件 不 被 非法 窃取 、 浏 览 、 算 改 、 删 除 或 破坏 
的 信息 安全 产品 。 紫 光 S 锁 是 一 套 基 于 UBS 硬件 标准 的 安全 升级 套件 ， 它 的 外 观 与 U 
盘 相 同 ,实际 上 是 一 台 没有 输入 输出 设备 、 只 带 有 UBS 接口 的 超 小 型 计算 机 。 其 内 部 集 
成 了 包括 中 央 处 理 器 、 加 密 运算 协 处 理 器 、 只 读 存储 器 、 随 机 存储 器 、 电 可 擦 除 可 编程 
只 读 存 储 器 等 ， 以 及 固化 在 ROM 内 部 的 芯片 操作 系统 COS (ChipOperating System)、 
硬件 ID 号 等 。 支持 ISO 7816 T=0 通信 协议 ; 内 置 硬 件 随 机 数 发 生 器 ; 支持 RSA1024 位 、 
ECC160 位 /192 位 公 钥 密码 算法 ,直接 在 芯片 内 生成 RSA 或 ECC 密 钥 ; 同 时 也 支持 DES、 
3DES 密码 算法 、MD5、SHA-1 数据 散 列 算法 。 采 用 了 通过 中 国人 民 银 行 认证 的 
SmartCOS, 其 安全 模块 可 防止 非法 数据 的 侵入 和 数据 的 算 改 , 防止 非法 软件 对 S 锁 进 行 
操作 。 通 过 UBS 安全 子 系统 和 安全 COS (芯片 操 作 系统 ) 给 计算 机 配置 一 个 封闭 、 安 
全 的 运行 环境 , 从 硬件 级 上 解决 了 计算 机 身份 认证 和 文件 保密 等 安全 问题 2004 年 1 月 ， 
无 锡 华 网 科技 推出 了 JX-KEY 桌面 安全 系统 , 其 采用 密码 学 技术 和 软件 硬件 结合 的 方法 ， 
对 个 人 计算 机 进行 信息 的 安全 保护 ， 是 可 将 普通 PC 轻松 升级 为 安全 计算 机 的 信息 安全 
产品 。JX-KEY 对 保存 到 文件 保险 箱 中 的 文件 自动 进行 加 密 ， 对 访问 文件 保险 箱 的 用 户 
进行 口令 和 硬件 双重 身份 认证 。JX-KEY 电子 钥匙 采用 智能 卡 +USB 读 卡 器 集成 的 结构 ， 
能 实现 智能 卡 的 功能 。 其 主要 技术 指标 如 下 。 

(1) 符合 CSP 和 PKCS#11 技术 标准 。 

(2) 其 中 的 COS 符合 中 国人 民 银 行 BPOC 检测 规范 。 

(3) 支持 数字 证 书 、 密 钥 存储 以 及 加 密 解密 算法 的 实现 。 算 法 包括 对 称 算法 (DES、 
3DES、RC2、RC4)、 公 私 钥 算 法 、 摘 要 算法 (MDS、SHA-1) 和 数字 签名 算法 。 

(4) 支持 真 随机 数 发 生 器 ， 支 持 密 钥 的 产生 。 

随 着 网 络 技术 的 发 展 ， 远 程 、 移 动 、 协 同 办 公 和 因特网 接 入 被 现代 企业 广泛 采用 。 
这 些 新 工作 方式 的 采用 在 带 来 更 多 资讯 和 更 高 生产 效率 的 同时 也 给 企业 办 公 网 络 带 来 更 
多 的 信息 安全 问题 ， 如 病毒 、 终 端 滥用 资源 、 非 法 接 入 、 非 授权 访问 、 终 端 安全 漏洞 、 
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恶意 终端 破坏 、 信 息 泄密 及 安全 策略 无 法 有 效 落实 等 。 传 统 的 基于 网 关 的 安全 架构 都 只 
是 针对 个 别 的 问题 ， 而 没有 构造 出 一 个 能 彻底 解决 企业 网 络 安全 问题 的 平台 。 育 合式 桌 
面 安 全 解决 方案 采用 先进 的 技术 开发 手段 和 工程 管理 方法 ， 以 核心 自 产 软件 为 平台 ， 统 
一 整合 和 管理 各 终端 安全 软件 ， 并 与 接 入 控制 网 关 硬 件 联动 进行 网 络 层 接 入 控制 ， 实 现 
内 部 办 公 网 络 及 分 支 机 构 等 对 内 控 安 全 需求 的 全 面 内 网 安全 解决 方案 。 聚 合式 桌面 安全 
解决 方案 运行 稳定 可 靠 ， 很 好 地 保障 企业 内 部 网 络 的 稳定 和 安全 ， 保 证 了 业务 的 顺畅 运 
行 。 聚 合式 桌面 安全 解决 方案 充分 考虑 企业 网 络 的 现状 和 安全 管理 需求 ， 为 企业 建立 起 
主动 自我 防御 、 安 全 加 固 的 自 免疫 安全 系统 ， 提 高 企业 网 络 系统 的 整体 安全 水 平 ， 为 企 
业 的 长 期 稳定 发 展 保驾 护航 。 系 统 支持 基于 账户 的 接 入 认证 功能 ， 用 户 账户 决定 其 权限 
和 策略 ， 可 以 灵活 方面 地 满足 移动 办 公用 户 和 外 地 出 差 用 户 的 接 入 认证 和 网 络 访问 。 可 
采用 用 户 名 加 口令 、MAC 地 址 、AD 域 认 证 多 种 认证 方式 ， 还 提供 设备 指纹 硬盘 序列 
号 、MAC 等 ) 与 用 户 绑 定 的 安全 认证 方式 ， 保 证 了 认证 的 可 信 度 。 系 统 的 设计 开发 完 
全 遵循 国际 和 国内 的 相关 行业 标准 和 软件 工程 管理 规范 ， 采 用 通用 化 和 模块 化 设计 ， 服 
务 器 端 采 用 专用 端口 和 协议 ， 提 供 标准 接口 与 各 种 安全 防护 软件 联动 ， 构 建 了 一 个 完整 
的 网 络 安全 体系 架构 。 检 查 一 隔离 一 加 固 一 管理 的 整体 解决 思路 ， 实 现 企业 内 部 网 络 安 
全 自 免 疫 。 安 全 接 入 控制 网 关 可 灵活 部 署 在 需要 控制 的 企业 网 络 范围 内 ， 支 持 分 布 式 部 
署 ， 支 持 直 挂 或 旁 挂 ， 桌 面 安 全 管理 服务 器 可 灵活 部 署 在 企业 网 络 的 任何 地 方 ， 客 户 端 
软件 可 通过 网 络 自动 升级 ， 强 大 的 软件 分 发 功能 为 补丁 和 软件 升级 提供 保证 ， 提 供 完 善 
的 双 机 热 备 功能 。 审 计 人 员 和 管理 人 员 的 职能 划分 采取 了 分 级 分 权 管 理 ， 确 保 每 一 个 人 
的 操作 都 会 被 审计 、 被 监控 ， 从 而 保证 了 使 用 的 安全 性 。 系 统 提供 非常 方便 的 各 种 日 志 
的 查询 功能 ， 多 种 形式 的 审计 报表 ， 帮 助 审计 人 员 更 好 地 完成 审计 工作 。 聚 合式 桌面 安 
全 解决 方案 给 用 户 提 供 的 功能 : 强制 认证 、 安 全 防护 、 安 全 监控 和 资产 管理 。 安 全 策略 
服务 器 和 安全 接 入 控制 网 关联 动 ， 控 制 终端 的 网 络 访问 权限 ， 对 不 同 的 用 户 ， 不 同安 全 
状况 的 用 户 开放 不 同 的 权限 。 通 过 对 终端 实施 身份 认证 和 安全 性 认证 的 双重 认证 检查 ， 
保证 访问 企业 网 络 资源 的 终端 为 拥有 合法 身份 同时 自身 安全 状况 是 符合 企业 安全 策略 的 
终端 ， 隔 离 不 安全 终端 并 提供 相应 的 安全 修复 ， 帮 助 企业 进行 终端 安全 加 固 ， 为 企业 内 
网 提供 全 面 的 终端 安全 防护 ， 防 止 病毒 传播 、 终 端 滥 用 资源 、 非 法 接 入 、 非 授权 访问 和 
终端 安全 漏洞 。 根 据 企业 安全 策略 对 内 网 中 的 终端 行为 实施 监控 ， 跟 踪 终端 进程 ， 控 制 
QQ、MSN 和 游戏 软件 的 使 用 ， 监 控 上 网 记录 ， 监 控 USB 存储 设备 ， 监 控 拨 号 外 联 等 ， 
帮助 企业 提高 工作 效率 ， 杜 绝 终端 恶意 破坏 ， 保 卫 企 业内 网 安全 、 防 止 企业 信息 泄密 。 
提供 对 企业 终端 硬件 和 软件 资产 信息 的 跟踪 管理 和 查询 ， 帮 助 企业 实现 终端 资产 可 控 
可 管 。 

Broadview DCC 桌面 安全 解决 方案 是 为 企业 管理 者 量 身 定做 的 联网 桌面 终端 综合 管 
理 平 台 ， 其 在 设计 时 就 遵循 了 ITILITSM 规范 及 公安 部 信息 安全 标准 等 原则 ， 切 实 总 结 
了 近 5 年 来 国内 企业 IT 管理 的 实际 需要 , 参照 国内 客户 的 网 络 结构 、 终 端 特点 和 管理 模 
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式 ， 了 解 国内 用 户 各 种 已 有 的 管理 产品 ， 并 结合 技术 发 展 的 趋势 ， 以 此 定位 产品 的 架构 、 
性 能 、 功 能 和 管理 界面 ， 使 Broadview DCC 成 为 一 款 具 有 符合 国内 企业 IT 架构 和 管理 
模式 ， 且 真正 适合 用 户 最 迫切 需求 的 桌面 系统 管理 平台 。 

趋势 科技 推广 企业 桌面 安全 解决 方案 率先 获 Windows Vista 认证 。 当 前 许多 病毒 开 
始 伪装 入 侵 Web, 即使 在 网 关 端 设置 阻止 执行 文件 进入 , 恶意 程序 也 可 能 伪装 成 txt、 jpg 
和 gif 文件 入 侵 ， 这 些 在 网 关 端 都 无 法 阻挡 。 病 毒 的 入 侵 ， 刺 激 着 杀毒 厂商 不 断 升 级 旗 
下 产品 。 网 络 安全 软件 厂商 趋势 科技 日 前 宣布 ， 将 Web 信誉 服务 加 入 网 络 版 安全 套件 
OfficeScan 8.0、 互 联网 网 关 安 全 设备 IWSA3.1 以 及 Interscan 网 关 安 全 设备 IGSA1.5 中 ， 
分 别针 对 客户 端 、 服务器 和 网 关 进 行 防护 ， 防 止 使 用 者 存 取 含有 恶意 程序 的 相关 网 站 。 
作为 第 一 套 融 合 新 型 网 络 信誉 技术 的 企业 解决 方案 ，OfficeScan 8.0 是 首 款 获 得 微软 
Windows Vista 认证 的 企业 桌面 安全 解决 方案 。 该 解决 方案 将 通过 增加 网 络 安全 等 级 与 得 
到 增强 的 反 间 谍 技 术 加 强 对 网 络 威胁 的 防护 。 移 动用 户 经 常 从 诸如 飞机 场 、 旅 馆 等 远程 
设施 环境 连接 到 因特网 ， 所 以 OfficeScan 8.0 将 采用 Web 信誉 服务 技术 保护 扩展 至 企业 
网 络 之 外 ， 通 过 基于 个 人 DNS 域名 信誉 进行 动态 评估 的 新 型 技术 来 保护 网 络 的 多 种 终 
端 设 备 。 通 过 分 析 网 络 域名 获得 的 被 访问 网 页 的 可 信 度 , WRS 将 为 网 页 评定 “信誉 等 级 ”。 
WRS 由 全 球 超过 150 台 在 线 服务 器 7x24 小 时 进行 在 线 实 时 分 析 ， 评 定 的 准确 率 高 达 
98%。WRS 会 提供 实时 更 新 ， 如 果 遭 到 恶意 程序 入 侵 的 网 站 已 修复 ， 评 定 分 数 也 会 立即 
恢复 ， 不 会 影响 到 使 用 者 点 击 进入 正常 网 页 。 加 入 了 WRS 信誉 服务 后 ，OfficeScan 8.0 
除了 监测 入 口 网 站 外 ， 也 可 以 检查 内 网 ， 以 URL 的 形式 侦 测 ， 能 够 更 精准 地 防止 使 用 
者 不 小 心 下 载 到 恶意 程序 。 现 在 用 户 如 果 利 用 Google 搜索 到 被 植 入 恶意 程序 的 网 页 时 ， 
也 会 出 现 警告 ， 但 只 针对 入 口 网 站 ， 而 且 若 不 用 Google 搜寻 而 是 直接 输入 网 址 ,还 是 会 
中 毒 ， 但 OfficeScan 8.0 不 会 出 现 这 样 的 情况 。 此 外 ，O 伍 ceScan 8.0 提供 给 用 户 4 种 安 
全 等 级 ， 企 业 可 依 需求 自行 设 定 。 判 断 标 准则 依 网 络 域名 历史 、 网 络 域名 稳定 度 、 网 络 
域名 关联 性 等 加 以 判断 。OfficeScan 8.0 具备 实时 扫描 功能 ， 当 使 用 者 新 增 、 移 除 或 接收 
档案 时 ， 系 统 就 会 启动 实时 扫描 。 


4.13 ”系统 安全 


4.13.1 DMZ 


DMZ 是 为 了 解决 安装 防火 墙 后 外 部 网 络 不 能 访问 内 部 网 络 服务 器 的 问题 而 设立 的 
一 个 非 安全 系统 与 安全 系统 之 间 的 缓冲 区 。 这 个 缓冲 区 位 于 企业 内 部 网 络 和 外 部 网 络 之 
间 的 小 网 络 区 域内 ， 在 这 个 小 网 络 区 域内 可 以 放置 一 些 必须 公开 的 服务 器 设施 ， 如 企业 
Web 服务 器 、FTP 服务 器 和 论坛 等 。 整 个 需要 保护 的 内 部 网 络 接 在 信任 区 端口 后 ， 不 多 
许 任何 访问 ， 实 现 内 外 网 分 离 ， 达 到 用 户 需求 。 来 自 外 网 的 访问 者 可 以 访问 DMZ 中 的 
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服务 ， 但 不 可 能 接触 到 存放 在 内 网 中 的 公司 机 密 或 私人 信息 等 ， 即 使 DMZ 中 服务 器 受 
到 破坏 ,也 不 会 对 内 网 中 的 机 密 信息 造成 影响 - DMZ 更 加 有 效 地 保护 了 内 部 网 络 ， 因 为 
这 种 网 络 部 署 ， 比 起 一 般 的 防火 墙 方案 ， 对 攻击 者 来 说 又 多 了 一 道 关卡 。 网 络 设备 开发 
商 利用 这 一 技术 开发 出 了 相应 的 防火 墙 解决 方案 。DMZ 通常 是 一 个 过 滤 的 子 网 ，DMZ 
在 内 部 网 络 和 外 部 网 络 之 间 构 造 了 一 个 安全 地 带 .DMZ 防火 墙 方案 为 要 保护 的 内 部 网 络 
增加 了 一 道 安全 防线 ， 它 提供 了 一 个 区 域 放置 公共 服务 器 ， 从 而 又 能 有 效 地 避免 一 些 互 
联 应 用 需要 公开 但 与 内 部 安全 策略 相 矛 盾 的 情况 发 生 。 在 DMZ 区 域 中 通常 包括 堡垒 主 
机 、Modem 池 以 及 所 有 的 公共 服务 器 , 但 要 注意 的 是 电子 商务 服务 器 只 能 用 作用 户 连接 ， 
真正 的 电子 商务 后 台数 据 需要 放 在 内 部 网 络 中 。 在 DMZ 防火 墙 方案 中 ， 一 般 包 括 两 个 
防火 墙 ， 外 部 防火 墙 抵挡 外 部 网 络 的 攻击 ， 并 管理 所 有 内 部 网 络 对 DMZ 的 访问 。 内 部 
防火 墙 管理 DMZ 对 于 内 部 网 络 的 访问 。 内 部 防火 墙 是 内 部 网 络 的 第 三 道 安全 防线 〈 前 
面 有 了 外 部 防火 墙 和 堡 侄 主机 ), 当 外 部 防火 墙 失 效 时 , 它 还 可 以 起 到 保护 内 部 网 络 的 功 
能 。 而 局 域 网 内 部 ， 对 于 Intemet 的 访问 由 内 部 防火 墙 和 位 于 DMZ 的 堡垒 主机 控制 。 在 
这 样 的 结构 里 ， 一 个 黑客 必须 通过 三 个 独立 的 区 域 〈 外 部 防火 墙 、 内 部 防火 墙 和 堡垒 主 
机 ) 才能 够 到 达 局 域 网 。 攻 击 难 度 大 大 加 强 ， 相 应 内 部 网 络 的 安全 性 也 就 大 大 加 强 ， 但 
投资 成 本 也 是 最 高 的 。 在 实际 的 运用 中 ， 某 些 主机 需要 对 外 提供 服务 ， 为 了 更 好 地 提供 
服务 ， 同 时 又 要 有 效 地 保护 内 部 网 络 的 安全 ， 将 这 些 需 要 对 外 开放 的 主机 与 内 部 的 众多 
网 络 设备 分 隔 开 来 ， 根 据 不 同 的 需要 ， 有 针对 性 地 采取 相应 的 隔离 措施 ， 这 样 便 能 在 对 
外 提供 友好 服务 的 同时 最 大 限度 地 保护 内 部 网 络 。 针 对 不 同 资源 提供 不 同安 全 级 别 的 保 
护 ， 可 以 构建 一 个 DMZ 区 域 ，DMZ 可 以 为 主机 环境 提供 网 络 级 的 保护 ， 能 减少 为 不 信 
任 客户 提供 服务 而 引发 的 危险 ， 是 放置 公共 信息 的 最 佳 位 置 。 在 一 个 非 DMZ 系统 中 ， 
内 部 网 络 和 主机 的 安全 通常 并 不 如 入 们 想象 的 那样 坚固 ， 提 供给 Intemet 的 服务 产生 了 
许多 漏洞 ， 使 其 他 主机 极 易 受到 攻击 。 但 是 ， 通 过 配置 DMZ 可 以 将 需要 保护 的 Web 应 
用 程序 服务 器 和 数据 库 系统 放 在 内 网 中 ， 把 没有 包含 敏感 数据 、 担 当代 理 数 据 访 问 职责 
的 主机 放置 于 DMZ 中 ， 这 样 就 为 应 用 系统 安全 提供 了 保障 。DMZ 使 包含 重要 数据 的 内 
部 系统 免 于 直接 暴露 给 外 部 网 络 而 受到 攻击 , 攻击 者 即使 初步 入 侵 成 功 , 还 要 面临 DMZ 
设置 的 新 的 障碍 。 

当 规 划一 个 拥有 DMZ 的 网 络 时 ， 可 以 明确 各 个 网 络 之 间 的 访问 关系 ， 确 定 如 下 访 
问 控 制 策略 。 内 网 可 以 访问 外 网 ， 内 网 的 用 户 显然 需要 自由 地 访问 外 网 。 在 这 一 策略 中 ， 
防火 墙 需要 进行 源 地 址 转换 。 内 网 可 以 访问 DMZ, 此 策略 是 为 了 方便 内 网 用 户 使 用 和 管 
理 DMZ 中 的 服务 器 。 外 网 不 能 访问 内 网 ， 内 网 中 存放 的 是 公司 内 部 数据 ， 这 些 数据 不 
允许 外 网 的 用 户 进行 访问 。 外 网 可 以 访问 DMZ，DMZ 中 的 服务 器 本 身 就 是 要 给 外 界 提 
供 服务 的 ， 所 以 外 网 必须 可 以 访问 DMZ， 同 时 ， 外 网 访问 DMZ 需要 由 防火 墙 完成 对 外 
地 址 到 服务 器 实际 地 址 的 转换 。DMZ 不 能 访问 内 网 ， 如 果 违 背 此 策略 ， 则 当 入 侵 者 攻陷 
DMZ 时 ， 就 可 以 进一步 进攻 到 内 网 的 重要 数据 。DMZ 不 能 访问 外 网 ， 此 策略 在 一 些 特 
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殊 情 况 下 例如 DMZ 中 放置 邮件 服务 器 时 ， 就 需要 访问 外 网 ， 否 则 将 不 能 正常 工作 ) 
除外 。 在 网 络 中 ， 非 军事 区 是 指 为 不 信任 系统 提供 服务 的 孤立 网 段 ， 其 目的 是 把 敏感 
的 内 部 网 络 和 其 他 提供 访问 服务 的 网 络 分 开 ， 阻 止 内 网 和 外 网 直接 通信 ， 以 保证 内 网 
安全 。 

DMZ 提供 的 服务 是 经 过 了 地 址 转换 和 受 安全 规则 限制 的 ， 以 达到 隐蔽 真实 地 址 、 
控制 访问 的 功能 。 首 先 要 根据 将 要 提供 的 服务 和 安全 策略 建立 一 个 清晰 的 网 络 拓扑 ， 确 
定 DMZ 区 应 用 服务 器 的 卫 和 端口 号 以 及 数据 流向 。 通 常 网 络 通信 流向 为 禁止 外 网 区 与 
内 网 区 直接 通信 , DMZ 区 既 可 与 外 网 区 进行 通信 ,也 可 以 与 内 网 区 进行 通信 ， 受 安全 规 
则 限制 。DMZ 区 服务 器 与 内 网 区 、 外 网 区 的 通信 是 经 过 网 络 地 址 转换 实现 的 。 网 络 地 址 
转换 用 于 将 一 个 地 址 域 ( 如 专用 Intranet) 映射 到 另 一 个 地 址 域 ( 如 Intemet)， 以 达到 隐 
藏 专用 网 络 的 目的 。 DMZ 区 服务 器 对 内 服务 时 映射 成 内 网 地 址 , 对 外 服务 时 映射 成 外 网 
地 址 。 采 用 静态 映射 配置 网 络 地 址 转换 时 ， 服 务 用 卫 和 真实 IP 要 一 一 映射 ， 源 地 址 转 
换 和 目的 地 址 转换 都 必须 要 有 。 安 全 规则 集 是 安全 策略 的 技术 实现 ， 一 个 可 靠 、 高 效 的 
安全 规则 集 是 实现 一 个 成 功 、 安 全 的 防火 墙 非常 关键 的 一 步 。 如 果 防 火 墙 规则 集 配置 错 
误 ， 再 好 的 防火 墙 也 只 是 摆设 。 在 建立 规则 集 时 必须 注意 规则 次 序 ， 因 为 防火 墙 大 多 以 
顺序 方式 检查 信息 包 ， 同 样 的 规则 ， 以 不 同 的 次 序 放置 ， 可 能 会 完全 改变 防火 墙 的 运转 
情况 。 如 果 信 息 包 经 过 每 一 条 规则 而 没有 发 现 匹配 ， 这 个 信息 包 便 会 被 拒绝 。 一 般 来 说 ， 
通常 的 顺序 是 ， 较 特殊 的 规则 在 前 ， 较 普通 的 规则 在 后 ， 防 止 在 找到 一 个 特殊 规则 之 前 
一 个 普通 规则 便 被 匹配 ,避免 防火 墙 被 配置 错误 。DMZ 安全 规则 指定 了 非 军 事 区 内 的 某 
一 主机 (IP 地 址 ) 对 应 的 安全 策略 。 由 于 DMZ 区 内 放置 的 服务 器 主机 将 提供 公共 服务 ， 
其 地 址 是 公开 的 ， 可 以 被 外 部 网 的 用 户 访问 ， 所 以 正确 设置 DMZ 区 安全 规则 对 保证 网 
络 安全 是 十 分 重要 的 。FireGate 可 以 根据 数据 包 的 地 址 、 协 议和 端口 进行 访问 控制 。 它 
将 每 个 连接 作为 一 个 数据 流 ， 通 过 规则 表 与 连接 表 共 同 配合 ， 对 网 络 连接 和 会 话 的 当前 
状态 进行 分 析 和 监控 。 其 用 于 过 滤 和 监控 的 人 P 包 信 息 主要 有 源 他 地址、 目的 他 地 址 、 
协议 类 型 (IP、ICMP、TCP、UDP)、 源 TCP/UDP 端口 、 目 的 TCP/UDP 端口 、ICMP 
报 文 类 型 域 和 代码 域 、 碎 片 包 和 其 他 标志 位 (如 SYN、ACK 位 ) 等 。 为 了 让 DMZ 区 的 
应 用 服务 器 能 与 内 网 中 DB 服务 器 (服务 端口 4004、 使 用 TCP 协议 ) 通信 , 需 增 加 DMZ 
区 安全 规则 ， 这 样 一 个 基于 DMZ 的 安全 应 用 服务 便 配 置 好 了 。 其 他 的 应 用 服务 可 根据 
安全 策略 逐个 配置 。 DMZ 无 疑 是 网 络 安 全 防御 体系 中 重要 组 成 部 分 , 再 加 上 入 侵 检 测 和 
基于 主机 的 其 他 安全 措施 ， 将 极 大 地 提高 公共 服务 及 整个 系统 的 安全 性 。 

内 部 网 络 和 主机 的 安全 通常 并 不 是 那样 的 坚固 。 在 一 个 非 DMZ 系统 中 ， 提 供给 
Intemet 的 服务 产生 了 许多 漏洞 , 使 其 他 主机 极 易 受到 攻击 。 解决 问题 的 方法 之 一 是 把 没 
有 包含 敏感 数据 ， 担 当代 理 数 据 访 问 职责 的 主机 放置 于 DMZ 中 。 通 过 应 用 程序 的 接口 
(如 Web 站 点 )， 或 通过 网 络 协议 〈 如 HITP) 可 以 实现 上 述 方法 。 在 网 络 中 数据 从 应 用 
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层 分 离 提供 了 附加 的 安全 ， 因 为 实施 DMZ 的 系统 不 会 把 包含 商业 数据 的 内 部 系统 直接 
暴露 给 网 络 攻击 。 攻 击 者 取得 初步 入 侵 成 功 后 ， 要 面临 DMZ 设置 的 新 障碍 。 一 个 DMZ 
配置 提供 了 实施 附加 安全 措施 的 自然 屋 ， 诸 如 主机 加 固 和 网 络 或 基于 主机 的 入 侵 检测 。 
主机 加 固 是 配置 主机 系统 的 过 程 ， 因 此 它 比 默认 的 配置 要 安全 的 多 。 主 机 安全 的 实施 提 
高 了 攻击 者 入 侵 的 难度 。 作 为 一 个 IT 管理 者 ,你 可 以 要 求 企 业 中 的 所 有 系统 符合 严格 的 
加 固 的 安全 需求 。 然 而 ， 你 也 可 以 坚持 基于 DMZ 系统 这 样 的 需求 ， 因 为 它们 是 现存 系 
统 的 一 个 小 子 集 ， 因 而 在 管理 和 维护 这 样 高 安全 配置 的 系统 ， 不 需要 付出 太 多 努力 。 一 
个 带 有 入 侵 检 测 的 DMZ 配置 可 以 添加 重要 的 安全 利益 。 最 显著 的 一 点 是 ，DMZ 为 管理 
人 员 节省 了 响应 攻击 的 时 间 ， 因 为 通过 网 络 访问 控制 攻击 被 隔离 在 内 部 系统 外 面 ， 数 据 
资源 和 设备 在 其 他 的 地 方 ， 因 此 攻击 者 必须 花费 时 间 寻 找 方法 进入 它们 。 通 过 使 用 检测 
和 响应 过 程 可 以 实现 数据 资料 和 系统 的 保护 。 关 键 的 问题 是 要 协调 IDS 系统 ， 事 件 响应 
过 程 要 很 好 的 定义 。DMZ 也 可 以 限制 内 部 对 外 部 网 和 Intemet 的 访问 。DMZ 限制 了 来 
自 DMZ 主机 的 对 外 访问 ， 增 加 了 内 部 系统 的 安全 性 ， 阻 止 了 入 侵 者 把 网 络 作为 工具 对 
其 他 人 进行 攻击 。 如 果 DMZ 仅 允 许 有 效 的 向 外 的 通信 量 ， 系 统 作为 攻击 的 第 三 方 的 机 
会 将 大 大 减少 。 意 识 到 DMZ 好 处 的 关键 是 理解 它 仅 是 广义 上 的 深度 防御 的 一 部 分 。 通 
过 入 侵 检测 系统 和 基于 主机 的 安全 措施 可 以 增加 DMZ 的 价值 。 控 制 和 监测 技术 的 结合 
体 可 以 很 大 程度 上 减少 那些 对 数据 提供 广泛 访问 的 系统 的 安全 性 。 

系统 安全 的 根本 目标 是 数据 资料 的 安全 ， 而 数据 资料 是 由 它 的 使 用 者 进行 存 取 和 维 
护 的 。 传 统 的 数据 存 取 和 维护 ， 都 是 以 新 的 数据 覆盖 有 旧 的 数据 ， 对 于 数据 的 无 心 错误 ， 
或 有 心 的 更 改 数据 ， 一 个 管理 者 并 无 法 有 效 地 查 出 蛛丝马迹 。 因 此 ， 对 数据 的 存 取 控制 
是 系统 安全 的 一 个 重要 方面 。 为 此 ，Sandhu 等 学 者 提出 了 一 套 以 角色 为 基础 的 存 取 控制 
理论 ， 其 基本 组 件 包括 使 用 者 、 角 色 、 授 权 及 会 话 。 最 小 特权 原则 是 系统 安全 中 最 基本 
的 原则 之 一 。 所 谓 最 小 特权 ， 指 的 是 在 完成 某 种 操作 时 所 赋予 网 络 中 每 个 主体 〈 用 户 或 
进程 ) 必 不 可 少 的 特权 。 最 小 特权 原则 则 是 指 应 限定 网 络 中 每 个 主体 所 必须 的 最 小 特权 ， 
确保 可 能 的 事故 、 错 误 、 网 络 部 件 的 算 改 等 原因 造成 的 损失 最 小 。 最 小 特权 原则 一 方面 
给 予 主体 必 不 可 少 的 特权 ， 这 就 保证 了 所 有 的 主体 都 能 在 所 赋予 的 特权 之 下 完成 所 需要 
完成 的 任务 或 操作 ;， 另 一 方面 ， 它 只 给 予 主体 必 不 可 少 的 特权 ， 这 就 限制 了 每 个 主体 所 
能 进行 的 操作 。 最 小 特权 原则 要 求 每 个 用 户 和 程序 在 操作 时 应 当 使 用 尽 可 能 少 的 特权 ， 
而 角色 允许 主体 以 参与 某 特 定 工 作 所 需要 的 最 小 特权 去 签 入 系统 。 被 授权 拥有 强力 角色 
的 主体 ， 不 需要 动 辐 运 用 到 其 所 有 的 特权 ， 只 有 在 那些 特权 有 实际 需求 时 ， 主 体 才 去 运 
用 它们 。 如 此 一 来 ， 将 可 减少 由 于 不 注意 的 错误 或 是 侵入 者 假装 合法 主体 所 造成 的 损坏 
发 生 ， 限 制 了 事故 、 错 误 或 攻击 带 来 的 危害 。 它 还 减少 了 特权 程序 之 间 潜 在 的 相互 作用 ， 
从 而 使 对 特权 无 意 的 、 没 必 要 的 或 不 适当 的 使 用 不 太 可 能 发 生 。 这 种 想法 还 可 以 引申 到 
程序 内 部 : 只 有 程序 中 需要 那些 特权 的 最 小 部 分 才 拥有 特权 。 
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4.13.2 ”物理 安全 


1. 保证 机 房 环境 安全 

信息 系统 中 的 计算 机 硬件 、 网 络 设备 及 其 运行 环境 是 信息 系统 运行 的 最 基本 因素 ， 
其 安全 性 对 信息 系统 的 安全 有 着 十 分 重要 的 作用 。 物 理 安全 是 指 在 物理 介质 层次 上 对 存 
储 和 传输 的 网 络 信 息 进行 安全 保护 ， 是 网 络 信息 安全 的 基本 保障 。 物 理 安全 包括 物理 位 
置 的 选择 、 物 理 访问 控制 、 防 盗窃 和 防 破坏 、 防 雷击 、 防 火 、 防 水 防潮 、 防 静电 、 温 湿 
度 控 制 、 电 力 供应 和 电磁 防护 等 方面 的 内 容 。 物 理 安全 是 指 在 物理 介质 层次 上 对 存储 和 
传输 的 网 络 信息 进行 安全 保护 ， 是 网 络 信息 安全 的 基本 保障 。 建 立 物 理 安全 体系 结构 应 
从 三 个 方面 考虑 : 一 是 自然 灾害 、 物 理 损 坏 和 设备 故障 ; 二 是 电磁 辐射 、 乘 机 而 入 、 痕 
迹 泄漏 等 ， 三 是 操作 失误 、 意 外 朴 漏 等 。 物 理 网 络 的 基础 设施 包括 物理 介质 的 选择 和 网 
络 拓扑 结构 。 物 理 安全 控制 是 对 物理 基础 设施 、 物 理 设备 安全 和 物理 访问 的 控制 。 对 于 
现 有 的 网 络 ， 如 果 为 了 适应 已 经 改变 的 环境 而 正在 创建 或 修改 安全 策略 ， 就 有 必要 更 改 
物理 基础 设施 ， 改 变 某 些 关 键 设备 的 物理 位 置 ， 使 安全 策略 更 容易 实施 。 如 果 已 经 将 物 
理 安全 控制 与 安全 策略 相 结合 ， 那 么 当 企业 需要 扩充 和 增加 新 的 站 点 时 ， 就 应 该 在 创建 
站 点 的 同时 考虑 网 络 的 物理 安全 控制 。 受 限 区 域 的 物理 访问 需要 主要 根据 分 析 或 物理 安 
全 调查 的 结果 来 决定 ， 严 格 限制 接近 机 柜 和 关键 网 络 基础 设施 设备 所 在 地 ， 除 非 经 过 授 
权 或 因 工 作 需 要 ， 否 则 将 禁止 接近 这 些 区 域 。 设 备 问题 可 能 会 造成 严重 危害 ， 当 采用 机 
柜 放置 所 有 关键 的 网 络 基 础 设施 设备 时 ， 必 须 尽 量 使 机 柜 处 于 一 个 独立 的 区 域 。 当 打印 
机 密 的 配置 文件 或 发 送 含 配置 内 容 的 传真 时 ， 为 了 避免 打印 机 或 传真 机 的 打印 输出 落 入 
他 人 手中 ， 需 要 将 敏感 打印 机 和 传真 机 安装 在 LAN 网 段 上 ， 且 该 局 域 网 应 位 于 访问 受 
到 严格 控制 的 室内 。 除 此 之 外 ， 还 必须 采取 安全 的 方法 来 销毁 打印 输出 和 文档 ， 如 使 用 
碎 纸 机 。 为 保护 关键 的 网 络 资源 ， 必 须 安装 和 实施 充分 的 环境 安全 保护 。 环 境 安全 保护 
包括 : 水 灾 的 预防 、 监 测 和 恢复 ; 水 害 预防、 监测 和 恢复 ;电源 保护 ;温度 控制 ;湿度 
控制 ， 保 护 免 受 自然 灾害 的 侵袭 ， 包 括 地 震 、 闪 电 和 风暴 等 保护 不 受过 量 磁场 干扰 ; 
制定 良好 的 清洁 制度 ， 减 少 尘土 和 垃圾 。 

2. 选用 合适 的 传输 介质 

屏蔽 式 双 绞 线 的 抗 干扰 能 力 更 强 ， 且 要 求 必 须 配 有 支持 屏蔽 功能 的 连接 器 件 和 要 求 
介质 有 良好 的 接地 (最 好 多 处 接地 )。 对 于 干扰 严重 的 区 域 , 应 使 用 屏蔽 式 双 绞 线 并 将 其 
放 在 金属 管内 以 增强 抗 干扰 能 力 。 

光纤 是 超 长 距离 和 高 容量 传输 系统 最 有 效 的 途径 ， 从 传输 特性 等 分 析 ， 无 论 何 种 光 
纤 ， 都 有 传输 频带 宽 ， 速 率 高 、 传 输 损耗 低 ， 传 输 距 离 远 、 抗 雷电 和 电磁 的 干扰 性 好 、 
保密 性 好 ， 不 易 被 窃听 或 截获 数据 、 传 输 的 误 码 率 很 低 ， 可 靠 性 高 、 体 积 小 和 重量 轻 等 
特点 。 与 双 绞 线 或 同 轴 电 缆 不 同 的 是 ， 光 纤 不 辐射 能 量 ， 能 够 有 效 地 阻止 窃听 。 
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3. 保证 供电 安全 可 靠 

计算 机 和 网 络 主干 设备 对 交流 电源 的 质量 要 求 十 分 严格 ， 对 交流 电 的 电压 和 频率 ， 
对 电源 波形 的 正弦 性 ， 对 三 相 电 源 的 对 称 性 ， 对 供电 的 连续 性 、 可 靠 性 、 稳 定性 和 抗 干 
扰 性 等 各 项 指标 都 要 求 保持 在 允许 偏差 范围 内 。 机 房 的 供 配 电 系 统 设 计 既 要 满足 设备 自 
身 运转 的 要 求 ， 又 要 满足 网 络 应 用 的 要 求 ， 必 须 做 到 保证 网 络 系统 运行 的 可 靠 性 ， 保 证 
设备 的 设计 寿命 ， 保 证 信息 安全 ， 保 证 机 房 人 员 的 工作 环境 。 机 房 的 供 配 电 应 满足 《 电 
子 计算 机 场地 通用 规范 》GB/T2778-2000 的 规定 ， 其 供 配 电 系统 的 电源 频率 为 SO0Hz， 电 
压 为 220V 或 380V, 需要 提供 的 电源 相 数 为 三 相 五 线 或 三 相 四 线 制 , 单 相 为 单 相 三 线 制 。 
供 配 电 系 统 容量 应 该 按照 机 房 所 配备 设备 情况 确定 ， 同 时 考虑 系统 扩展 、 升 级 的 可 能 ， 
预 留 备用 容量 。 计 算 机 网 络 机 房 的 负荷 等 级 应 该 设 为 一 级 负荷 ， 供 配 电 系统 应 该 按照 一 
类 供电 方式 设计 ， 即 为 提高 机 房 设备 的 供 配 电 系 统 可 靠 性 ， 在 配 电 设 备 前 端 增加 交流 不 
间断 电源 系统 UPS， 达 到 供电 可 靠 不 间 断 ， 质 量 稳定 无 干扰 。 

计算 机 网 络 机 房 供 配 电 系统 应 该 是 一 个 独立 的 系统 ， 通 常 由 计算 机 网 络 设备 供电 、 
机 房 辅助 设备 供电 和 其 他 供电 三 部 分 组 成 。 计 算 机 网 络 设备 供电 部 分 负责 向 网 络 主干 通 
信 设 备 、 网 络 服务 器 设备 、 计 算 机 终端 设备 和 计算 机 外 部 设备 供电 ; 机 房 辅助 设备 供电 
部 分 负责 向 机 房 空 调 通风 系统 、 机 房 照明 系统 和 机 房 维修 电源 系统 〈 活 动 地 板 下 或 墙 面 
专用 电源 插座 系统 ) 供电 ; 办 公 室 属于 其 他 部 分 供电 。 这 些 部 分 都 统一 通过 安装 在 机 房 
配 电 间 的 动力 配 电 柜 进行 配 电 。 外 部 供电 电缆 先进 入 机 房 总 配 电 柜 , 然后 分 送 各 个 部 分 。 
机 房 动力 配 电 柜 应 该 选用 自动 的 空气 开关 ， 并 且 与 消防 系统 联动 。 当 机 房 出 现 严重 事故 
或 者 火警 时 ， 管 理 人 员 能 够 立即 切断 所 有 电源 。 在 与 公共 电网 的 配 接 方面 ， 有 条 件 的 机 
构 最 好 采用 双 路 电源 供电 ， 即 接 入 计算 机 网 络 机 房 的 总 进 线 有 两 路 ， 且 来 自 不 同 的 供电 
单位 。 两 路 供电 在 总 配 电 系统 中 可 以 自动 进行 切换 。 当 一 路 供电 发 生 故 障 时 ， 能 够 自动 
转换 到 另 一 路 。 必 要 时 配置 防 浪 涌 抑 制 器 。 电 网 中 过 高 或 过 频 的 高 能 瞬 态 浪 涌 的 侵入 ， 
轻 者 会 造成 计算 机 设备 的 误 码 率 增 大 ， 重 者 会 造成 设备 损坏 。 因 此 ， 根 据 情况 可 以 在 电 
源 输入 端 配置 防 浪 涌 抑 制 器 。 机 房 对 电网 供电 质量 要 求 较 高 ， 内 容 主要 包括 稳 态 电压 偏 
移 范围 、 稳 态 频率 偏 移 范围 、 电 压 波形 畸变 率 、 允 许 断 电 持续 时 间 和 三 相 电 压 不 平衡 度 
等 几 个 主要 因素 。 

对 于 机 房 供 配 电 设备 ， 专 用 配 电 箱 内 保护 和 控制 电器 的 选 型 应 满足 国家 规范 要 求 ， 
专用 配 电 箱 应 有 充足 的 备用 回路 ， 以 满足 计算 机 网 络 系统 设备 的 扩容 ; 专用 配 电 箱 应 该 
设置 电流 、 电 压 表 供 管理 人 员 监 测 三 相 不 平衡 情况 ;专用 配 电 箱 要 设置 足够 的 中 线 和 接 
地 端子 。 在 机 房 供 配 电 系统 布线 方面 ， 机 房 电 源 进 线 应 遵照 《建筑 物 防 雷 设计 规范 》 要 
求 , 采取 过 电压 保护 措施 。 专 用 配 电 箱 电源 应 采用 电缆 进 线 。 在 不 得 不 采用 架空 进 线 时 ， 
在 低压 架空 电源 进 线 处 或 专用 电力 变压器 低压 配 电 母线 处 ， 要 安装 低压 避雷 器 。 机 房 低 
压 配 电线 路 应 采用 铜 芯 屏 蔽 导线 或 铜 芯 屏 蔽 电缆 。 机 房 活动 地 板 下 的 电源 线 应 尽 可 能 地 
远离 网 络 信号 线 ， 避 免 并 排 敷设 ， 并 采取 相应 的 屏蔽 措施 。 机 房 内 的 电线 电缆 除了 应 该 
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具备 相应 的 流量 负载 承担 能 力 外 ， 还 必须 考虑 线 缆 阻 燃 要 求 。 机 房 内 所 有 电费 的 镀 锌 金 
属 走 线 槽 或 镀 锌 走 线 钢管 都 应 该 布设 在 地 板 下 面 或 吊顶 内 。 每 路 电缆 两 端 都 应 该 进行 标 
记 ， 并 且 绘 制 详细 的 布线 图 存档 。 机 房 的 接地 系统 包括 交 直 流 接地 、 防 雷 接地 、 安 全 保 
护 接地 和 静电 排放 接地 等 多 个 方面 。 通 常 与 机 房 供 配 电 系统 或 整个 建筑 物 接地 系统 一 同 
实施 ， 完 成 后 对 机 房 布 线 提供 连接 点 。 机 房 接 地 主要 有 系统 接地 和 屏蔽 接地 两 类 。 系 统 
接地 包括 如 下 4 种 接地 类 型 。 

(1) 交流 工作 接地 ， 也 称 为 中 性 线 接地 ， 接 地 电阻 不 应 大 于 4Q。 

(2) 安全 保护 接地 ， 接 地 电阻 不 应 大 于 4 Q。 

(3) 直流 工作 接地 ， 也 称 为 逻辑 接地 ， 通 常 要 求 接地 电阻 不 大 于 1 Q。 

(4) 防 雷 接地 ， 按 照 现行 的 《建筑 物 防 雷 设 计 规范 》GB50057-94 设计 。 屏 蔽 接地 
是 指 对 机 房 辅助 设施 的 静电 屏蔽 保护 层 接地 , 这 些 静电 屏蔽 层 有 线路 屏蔽 罩 、 设 备 外 壳 、 
专用 供电 变压器 的 静电 屏蔽 层 和 局 部 空间 屏蔽 单 等 。 机 房 接地 系统 最 好 采用 单 点 接地 ， 
并 采取 多 个 设备 接地 系统 经 铜 排 网 最 后 接 至 同一 接地 干线 的 等 电位 措施 。 另 外 ， 在 接线 
施工 中 应 该 尽 可 能 降低 中 性 线 对 地 线 的 电位 。 


4.13.3 ”主机 系统 安全 


主机 系统 安全 主要 包括 操作 系统 安全 、 数 据 库 系统 安全 、 系 统 访问 控制 安全 、 安 全 
审计 和 主机 运行 安全 。 操 作 系 统 是 重要 的 系统 软件 之 一 ， 能 够 对 计算 机 的 硬件 资源 和 软 
件 资源 实行 统一 的 管理 和 控制 ， 必 须 提供 必要 的 手段 防止 由 用 户 的 误 操 作 或 者 攻击 者 的 
人 为 破坏 而 造成 的 错误 。 操 作 系统 的 安全 问题 主要 有 两 个 方面 : 一 是 能 够 为 用 户 提供 的 
安全 保护 措施 ， 对 使 用 操作 系统 的 用 户 实施 监督 ， 对 受 保护 的 对 象 进行 访问 控制 ， 采 取 
隔离 措施 将 不 同 的 进程 相互 隔离 开 ; 另 一 个 方面 是 如 何 设计 和 实现 一 个 安全 的 操作 系统 ， 
安全 的 操作 系统 必须 具备 最 小 特权 、 经 济 性 、 开 放 系 统 、 完 全 协调 、 以 许可 为 基础 、 特 
权 分 离 、 最 少 公用 机 构 和 易 使 用 性 等 特性 。 数据 库 的 安全 问题 主要 是 存储 上 的 安全 问题 ， 
保护 数据 防止 不 合法 的 使 用 ， 避 免 煞 据 的 泄露 、 更 改 和 破坏 ， 同 时 又 要 为 合法 地 使 用 提 
供 最 大 限度 的 保证 。 安 全 的 数据 库 系统 应 该 保证 物理 数据 库 和 逻辑 数据 库 的 完整 性 和 数 
据 的 准确 性 ， 能 够 对 数据 库 的 访问 操作 进行 跟踪 ， 保 证 用 户 仅 访问 那些 允许 他 访问 的 数 
据 ， 同 时 保证 对 不 同 的 用 户 限制 使 用 不 同 的 访问 模式 ， 不 允许 一 个 未 经 授权 的 用 户 对 数 
据 库 进 行 操作 ， 而 且 能 够 最 大 限度 地 访问 允许 他 访问 的 数据 。 主 机 系统 安全 主要 包括 身 
份 鉴别 、 自 主 访问 控制 、 强 制 访问 控制 、 安 全 审计 、 系 统 保护 、 剩 余 信息 保护 、 入 侵 防 
范 、 恶 意 代 码 防范 和 资源 控制 。 

操作 系统 和 数据 库 系 统 用 户 的 身份 标识 应 具有 唯一 性 ， 应 对 登录 操作 系统 和 数据 库 
系统 的 用 户 进行 身份 标识 和 鉴别 ， 对 同一 用 户 采用 两 种 或 两 种 以 上 组 合 的 鉴别 技术 实现 
用 户 身份 鉴别 。 操 作 系统 和 数据 库 系 统 用 户 的 身份 鉴别 信息 应 具有 不 易 被 冒 用 的 特点 ， 
例如 口令 长 度 、 复 杂 性 和 定期 更 新 等 。 应 具有 登录 失败 处 理 功能 ， 如 结束 会 话 、 限 制 非 
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法 登录 次 数 ， 当 登录 连接 超时 自动 退出 ， 应 具有 鉴别 警示 功能 ， 重 要 的 主机 系统 应 对 与 
之 相连 的 服务 器 或 终端 设备 进行 身份 标识 和 鉴别 。 

对 系统 的 访问 控制 分 为 自主 访问 控制 和 强制 访问 控制 。 依 据 安全 策略 控制 主体 对 客 
体 的 访问 ， 对 于 重要 信息 资源 和 访问 重要 信息 资源 的 所 有 主体 设置 敏感 标记 。 自 主 访问 
控制 的 覆盖 范围 包括 与 信息 安全 直接 相关 的 主体 、 客 体 及 它们 之 间 的 操作 ， 自 主 访问 控 
制 的 粒度 应 达到 主体 为 用 户 级 ， 客 体 为 文件 、 数 据 库 表 级 。 应 由 授权 主体 设置 对 客体 访 
问 和 操作 的 权限 ， 权 限 分 离 应 采用 最 小 授权 原则 ， 分 别 授予 不 同 用 户 各 自 为 完成 自己 承 
担任 务 所 需 的 最 小 权限 ， 并 在 他 们 之 间 形 成 相互 制约 的 关系 ， 实 现 操作 系统 和 数据 库 系 
统 特权 用 户 的 权限 分 离 ， 严 格 限制 默认 用 户 的 访问 权限 。 强 制 访问 控制 的 覆盖 范围 应 包 
括 与 重要 信息 资源 直接 相关 的 所 有 主体 、 客 体 及 它们 之 间 的 操作 ， 强 制 访问 控制 的 粒度 
应 达到 主体 为 用 户 级 ， 客 体 为 文件 、 数 据 库 表 级 。 

安全 审计 应 覆盖 到 服务 器 和 客户 端 上 的 每 个 操作 系统 用 户 和 数据 库 用 户 ， 安 全 审计 
应 记录 系统 内 重要 的 安全 相关 事件 ， 包 括 重要 用 户 行为 、 系 统 资源 的 异常 使 用 和 重要 系 
统 命令 的 使 用 ， 安 全 相关 事件 的 记录 应 包括 日 期 和 时 间 、 类 型 、 主 体 标识 、 客 体 标识 和 
事件 的 结果 等 ， 安 全 审计 应 可 以 根据 记录 数据 进行 分 析 ， 并 生成 审计 报表 。 安 全 审计 可 
以 对 特定 事件 提供 指定 方式 的 实时 报警 ,审计 进程 应 受到 保护 , 避免 受到 未 预期 的 中 断 ; 
审计 记录 应 受到 保护 ， 避 免 受 到 未 预期 的 删除 、 修 改 或 覆盖 等 。 系 统 因 故 障 或 其 他 原因 
中 断后 ， 应 能 够 以 手动 或 自动 方式 恢复 运行 。 保 证 操作 系统 和 数据 库 管 理 系统 用 户 的 鉴 
别 信息 所 在 的 存储 空间 ， 被 释放 或 再 分 配给 其 他 用 户 前 得 到 完全 清除 ， 无 论 这 些 信息 是 
存放 在 硬盘 上 还 是 在 内 存 中 ， 应 确保 系统 内 的 文件 、 目 录 和 数据 库 记录 等 资源 所 在 的 存 
储 空间 被 释放 或 重新 分 配给 其 他 用 户 前 得 到 完全 清除 。 

进行 主机 运行 监视 ， 包 括 监 视 主机 的 CPU、 硬 盘 、 内 存 和 网 络 等 资源 的 使 用 情况 ， 
设 定 资源 报警 闵 值 ， 以 便 在 资源 使 用 超过 规定 数值 时 发 出 报警 。 进 行 特 定 进程 监控 ， 限 
制 操作 人 员 运 行 非法 进程 。 进 行 主机 账户 监控 ， 限 制 对 重要 账户 的 添加 和 更 改 ， 检 测 各 
种 已 知 的 入 侵 行 为 ， 记 录入 侵 的 源 全 、 攻 击 的 类 型 、 攻 击 的 目的 、 攻 击 的 时 间 ， 并 在 发 
生 严 重 入 侵 事件 时 提供 报警 。 能 够 检测 重要 程序 完整 性 受到 破坏 ， 并 在 检测 到 完整 性 错 
误 时 采取 必要 的 恢复 措施 。 服 务 器 和 终端 设备 〈 包 括 移动 设备 ) 均 安 装 实时 检测 和 查 杀 
恶意 代码 的 软件 产品 ， 主 机 系统 防 恶意 代码 产品 具有 与 网 络 防 恶 意 代码 产品 不 同 的 恶意 
代码 库 ， 能 够 支持 恶意 代码 防范 的 统一 管理 。 限 制 单个 用 户 的 多 重 并 发 会 话 ， 并 且 对 最 
大 并 发 会 话 连接 数 和 一 个 时 间 段 内 可 能 的 并 发 会 话 连接 数 进行 限制 ， 通 过 设 定 终端 接 入 
方式 、 网 络 地 址 范围 等 条 件 限 制 终端 登录 。 根 据 安全 策略 设置 登录 终端 的 操作 超时 锁定 
和 鉴别 失败 锁定 ， 并 规定 解锁 或 终止 方式 ， 禁 止 同 一 用 户 账号 在 同一 时 间 内 并 发 登录 ， 
限制 单个 用 户 对 系统 资源 的 最 大 或 最 小 使 用 限度 。 当 系统 的 服务 水 平 降低 到 预先 规定 的 
最 小 值 时 ， 能 够 检测 和 报警 ， 根 据 安全 策略 设 定 主体 的 服务 优先 级 ， 根 据 优先 级 分 配 系 
统 资源 ， 保 证 优先 级 低 的 主体 处 理 能 力 不 会 影响 到 优先 级 高 的 主体 的 处 理 能 力 。 
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4.14 ”安全 审计 
4.14.1 安全 审计 的 内 容 


4.14.1.1 安全 审计 概述 


安全 审计 包括 识别 、 记 录 、 存 储 、 分 析 与 安全 相关 行为 的 信息 ， 审 计 记 录用 于 检查 
与 安全 相关 的 活动 和 负责 人 。 美 国 国家 标准 《可 信 计 算 机 系统 评估 准则 》 对 于 安全 审计 
系统 给 出 如 下 定义 : 一 个 安全 的 审计 系统 ， 是 对 系统 中 任何 一 个 或 者 所 有 安全 相关 的 事 
件 进行 记录 、 分 析 和 再 现 的 处 理 系 统 ， 通 过 对 一 些 重要 的 事件 进行 的 记录 在 系统 发 现 错 
误 或 者 受到 攻击 时 能 够 定位 错误 和 找到 攻击 成 功 的 原因 ， 是 事故 后 调查 取证 的 基础 。 在 
信息 安全 的 三 个 基本 要 素 一 一 保护 、 检 测 和 恢复 中 ， 安 全 属于 检测 的 范围 。 安 全 审计 是 
指 将 系统 的 各 种 安全 机 制 和 措施 与 预定 的 安全 目标 和 策略 进行 一 致 性 比较 ， 确 定 各 项 控 
制 机 制 是 否 存在 和 得 到 执行 , 对 漏洞 的 防范 是 否 有 效 , 评价 系统 安全 机 制 的 可 依赖 程度 。 
从 广义 上 来 说 ， 安 全 审计 是 对 网 络 的 脆弱 性 进行 测试 评估 和 分 析 ， 最 大 限度 地 保障 业务 
的 安全 正常 运行 的 一 切 行为 和 手段 。 目 前 已 被 广泛 地 用 于 评估 一 个 系统 的 安全 性 的 CC 
标准 对 于 网 络 安全 审计 定义 了 一 套 完 整 的 功能 ， 内 容 包 括 安全 审计 自动 响应 、 安 全 审计 
数据 生成 、 安 全 审计 分 析 、 安 全 审计 浏览 、 安 全 审计 事件 存储 和 安全 审计 事件 选择 等 。 

1) 安全 审计 自动 响应 (AU_APR) 

安全 审计 自动 响应 定义 在 被 测 事件 指示 出 一 个 潜在 的 安全 攻击 时 做 出 的 响应 ， 它 是 
管理 审计 事件 的 需要 ， 这 些 需 要 包括 报警 或 行动 ， 例 如 包括 实时 报警 的 生成 、 违 例 进 程 
的 终止 、 中 断 服务 和 用 户 账号 的 失效 等 。 根 据 审 计 事 件 的 不 同 ， 系统 将 做 出 不 同 的 响应 。 
其 响应 方式 可 作 增 加 、 删 除 和 修改 等 操作 。 

2) 安全 审计 数据 生成 (AU_GEN) 

该 功能 要 求 记录 与 安全 相关 的 事件 的 出 现 ， 包 括 鉴别 审计 层次 、 列 举 可 被 审计 的 事 
件 类 型 以 及 鉴别 由 各 种 审计 记录 类 型 提供 的 相关 审计 信息 的 最 小 集合 。 系 统 可 定义 可 审 
计 事 件 清单 ， 每 个 可 审计 事件 对 应 于 某 个 事件 级 别 ， 如 低级 、 中 级 、 高 级 。 产 生 的 审计 
数据 有 以 下 几 方面 。 

(1) 对 于 敏感 数据 项 (如 口令 等 ) 的 访问 。 

(2) 目标 对 象 的 删除 。 

(3) 访问 权限 或 能 力 的 授予 和 废除 。 

(4) 改变 主体 或 目标 的 安全 属性 。 

(5) 标识 定义 和 用 户 授权 认证 功能 的 使 用 。 

(6) 审计 功能 的 启动 和 关闭 。 
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每 一 条 审计 记录 中 至 少 应 所 含 以 下 信息 : 事件 发 生 的 日 期 、 时 间 、 事 件 类 型 、 主 题 
标识 、 执 行 结果 《成功 、 失 败 )、 引 起 此 事件 的 用 户 的 标识 以 及 对 每 一 个 审计 事件 与 该 事 
件 有 关 的 审计 信息 。 

3) 安全 审计 分 析 (AU _SAA) 

此 部 分 功能 定义 了 分 析 系 统 活动 和 审计 数据 来 寻找 可 能 的 或 真正 的 安全 违规 操作 。 
它 可 以 用 于 入 侵 检 测 或 对 安全 违规 的 自动 响应 。 当 一 个 审计 事件 集 出 现 或 累计 出 现 一 定 
次 数 时 可 以 确定 一 个 违规 的 发 生 ， 并 执行 审计 分 析 。 事 件 的 集合 能 够 由 经 授权 的 用 户 进 
行 增加 、 修 改 或 删除 等 操作 。 审 计 分 析 分 为 潜在 攻击 分 析 、 基 于 模板 的 异常 检测 、 简 单 
攻击 试探 和 复杂 攻击 试探 等 几 种 类 型 。 

(1) 潜在 攻击 分 析 。 系 统 能 用 一 系列 的 规则 监控 审计 事件 ， 并 根据 规则 指示 系统 的 
潜在 攻击 。 

(2) 基于 模板 的 异常 检测 。 检 测 系统 不 同等 级 用 户 的 行动 记录 ， 当 用 户 的 活动 等 级 
超过 其 限定 的 登记 时 ， 应 指示 出 此 为 一 个 潜在 的 攻击 。 

(3) 简单 攻击 试探 。 当 发 现 一 个 系统 事件 与 一 个 表示 对 系统 潜在 攻击 的 签名 事件 匹 
配 时 ， 应 指示 出 此 为 一 个 潜在 的 攻击 。 

(4) 复杂 攻击 试探 。 当 发 现 一 个 系统 事件 或 事迹 序列 与 一 个 表示 对 系统 潜在 攻击 的 
签名 事件 匹配 时 ， 应 指示 出 此 为 一 个 潜在 的 攻击 。 

4) 安全 审计 浏览 (AU_SAR) 

该 功能 要 求 审计 系统 能 够 使 授权 的 用 户 有 效 地 浏览 审计 数据 。 包 括 审计 浏览 、 有 限 
审计 浏览 和 可 选 审 计 浏览 。 

(1) 审计 浏览 。 提 供 从 审计 记录 中 读 取信 息 的 服务 。 

(2) 有 限 审计 浏览 。 要 求 除 注 册 用 户外 ， 其 他 用 户 不 能 读 取信 息 。 

(3) 可 选 审计 信息 。 要求 审计 浏览 工具 根据 相应 的 判断 标准 选择 需 浏览 的 审计 数据 。 

5) 安全 审计 事件 选择 (AU_SEL) 

系统 能 够 维护 、 检 查 或 修改 审计 事件 的 集合 ， 能 够 选择 对 哪些 安全 属性 进行 审计 ， 
例如 ， 与 目标 标识 、 用 户 标识 、 主 体 标 识 、 主 机 标识 或 事件 类 型 有 关 的 属性 。 系 统管 理 
员 将 能 够 有 选择 地 在 个 人 识别 的 基础 上 审计 任何 一 个 用 户 或 多 个 用 户 的 动作 。 

6) 安全 审计 事件 存储 (AU_STG) 

系统 将 提供 控制 措施 以 防止 由 于 资源 的 不 可 用 丢失 审计 数据 。 能 够 创造 、 维 护 、 访 
问 它 所 保护 的 对 象 的 审计 踪迹 ， 并 保护 其 不 被 修改 、 非 授权 访问 或 破坏 。 审 计数 据 将 受 
到 保护 直至 授权 用 户 对 它 进行 访问 。 它 可 保证 某 个 指定 量度 的 审计 记录 被 维护 ， 并 不 受 
以 下 事件 的 影响 。 

(1) 审计 存储 用 尽 。 

(2) 审计 存储 故障 。 

(3) 非法 攻击 。 
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(4) 其 他 任何 非 预 期 事件 。 

系统 能 够 在 审计 存储 发 生 故 障 时 采取 相应 的 动作 ， 能 够 在 审计 存储 即将 用 尽 时 采取 
相应 的 动作 。 

信息 安全 的 目标 分 为 系统 安全 、 数 据 安全 和 事务 安全 ， 根 据 被 审计 对 象 的 不 同 ， 安 
全 审计 包含 以 下 几 种 类 型 。 

(1) 系统 的 安全 审计 。 

(2) 数据 的 安全 审计 。 

(3) 应 用 的 安全 审计 。 

但 是 ， 通 常 的 审计 系统 都 含有 上 述 三 种 审计 目的 。 审 计 系 统 必 须 支 持 各 种 操作 系统 
(如 UNIX/Linux/Windows)、 网 络 设备 (多 种 网 络 交 换 机 、 路 由 器 )、 支 持 服务 和 应 用 系 
统 〈 如 IIS 服务 器 、APAEHE 服务 器 、Web 服务 器 、E-mail 服务 器 、FTP 服务 器 和 DNS 
服务 器 等 )、 支 持 新 设备 和 系统 日 志 的 审计 。 


4.14.1.2 ”安全 审计 的 功能 


安全 审计 系统 就 是 根据 一 定 的 安全 策略 记录 和 分 析 历史 操作 事件 及 数据 ， 发 现 能 够 
改进 系统 运行 性 能 和 系统 安全 的 地 方 。 安 全 审计 的 作用 包括 对 潜在 的 攻击 者 起 到 震慑 或 
警告 的 作用 、 检 测 和 制止 对 安全 系统 的 入 侵 、 发 现 计算 机 的 滥用 情况 、 为 系统 管理 员 提 
供 系统 运行 的 日 志 ， 从 而 能 发 现 系统 入 侵 行 为 和 潜在 的 漏洞 及 对 已 经 发 生 的 系统 攻击 行 
为 提供 有 效 的 追 纠 证 据 。 安全 审计 系统 通常 有 一 个 统一 的 集中 管理 平台 , 支持 集中 管理 ， 
并 支持 对 日 志 代 理 、 安 全 审计 中 心 、 日 志 、 数 据 库 的 集中 管理 ， 并 具有 事件 响应 机 制 和 
联动 机 制 。 中 国安 全 产品 测评 认证 中 心 基于 CC 标准 来 制定 国家 标准 ， 网 络 安全 审计 系 
统 所 实现 的 功能 主要 遵照 CC 标准 。 功 能 如 下 。 

1) 监视 网 络 上 的 反常 行为 

此 功能 对 应 于 CC 标准 的 安全 审计 分 析 功 能 和 安全 审计 数据 生成 功能 。 基 于 网 络 的 
审计 代理 以 旁 路 (by-pass) 方式 连接 在 被 审计 的 网 络 上 ， 实 时 监测 网 络 上 的 传输 内 容 ， 
根据 规则 分 析 ， 辨 别 出 异 常 行为 ， 如 系统 入 侵 、 攻 击 尝试 、 内 部 违规 和 非法 访问 等 行为 。 
它 不 但 能 够 检测 到 外 来 入 侵 ， 也 能 发 现 内 部 人 员 的 违规 或 误 操 作 。 审 计 系统 能 够 通过 分 
析 系 统 活动 和 审计 数据 来 确认 安全 违规 操作 。 当 一 个 审计 事件 集 出 现 或 累计 出 现 一 定 次 
数 时 可 以 确定 一 个 违规 的 发 生 ， 并 对 此 事件 集 进 行 分 析 。 授 权 的 用 户 能 够 对 事件 集合 进 
行 增加 、 修 改 或 删除 等 操作 。 

2) 收集 操作 系统 和 应 用 系统 内 部 所 产生 的 审计 数据 

此 功能 对 应 于 CC 标准 的 安全 审计 分 析 功 能 和 安全 审计 数据 生成 功能 。 基 于 主机 的 
审计 代理 嵌入 在 被 审计 主机 系统 内 部 ， 收 集 操作 系统 或 应 用 系统 所 产生 的 审计 信息 ， 如 
系统 日 志 、 报 警 消息 和 操作 记录 等 。 该 功能 主要 防止 操作 系统 或 应 用 系统 的 日 志文 件 或 
相关 信息 被 黑客 删除 或 意外 丢失 而 带 来 的 损失 ， 是 一 种 取证 功能 。 
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3) 实时 报警 

此 功能 对 应 于 CC 标准 的 安全 审计 自动 响应 功能 。 当 审计 系统 检测 到 网 络 违规 行为 
或 异常 情况 时 进行 实时 报警 ， 以 提醒 管理 人 员 及 时 发 现 问题 ， 并 采取 有 效 措施 控制 事态 
发 展 。 系 统 是 根据 不 同事 件 级 别 产 生 不 同 级 别 的 报警 ， 如 不 同 的 报警 声音 或 不 同 的 记录 
形式 。 

4) 网 络 控制 

此 功能 对 应 于 CC 标准 的 安全 审计 自动 响应 功能 。 当 审计 系统 发 现 严重 的 违规 现象 
或 网 络 入 侵 时 ， 可 通过 自动 或 手动 的 方式 中 断 此 网 络 连 接 ， 使 入 侵 不 能 继续 进行 ， 能 有 
效 地 减少 损失 ， 维 护 网 络 秩序 ， 保 证 网 络 安全 。 

5) 审计 数据 维护 和 查询 加 密 ， 权 限 控制 

此 功能 对 应 于 CC 标准 的 安全 审计 数据 生成 、 安 全 审计 复查 和 安全 审计 事件 存储 功 
能 。 所 有 触发 审计 系统 的 事件 都 在 审计 系统 内 按照 CC 标准 生成 完备 的 审计 数据 ， 并 加 
密 存 储 在 审计 系统 内 ， 同 时 能 够 根据 存储 的 记录 和 操作 者 的 权限 进行 查询 、 统 计 、 管 理 
和 维护 等 操作 。 并 且 能 够 在 必要 时 从 记录 中 抽取 所 需要 的 资料 ， 例 如 : 

(1) 一 个 或 多 个 用 户 的 行动 。 

(2) 对 一 个 特定 目标 或 资源 采取 的 行动 。 

(3) 审计 例外 的 情况 。 

(4) 与 特定 安全 属性 有 关 的 行动 。 

审计 系统 能 够 提供 控制 措施 以 防止 丢失 审计 数据 。 能 够 创造 、 维 护 、 访 问 它 所 保护 
的 对 象 的 审计 记录 ， 并 保护 其 不 被 修改 、 非 授权 访问 或 破坏 。 

6) 规则 制定 

此 功能 对 应 于 CC 标准 的 安全 审计 事件 选择 功能 。 系统 根据 管理 员 所 制定 的 规则 来 
运作 ， 以 适应 不 同 应 用 的 需求 ， 使 得 审计 系统 与 信息 系统 更 加 贴切 。 在 审计 系统 中 能 定 
义 可 审计 的 事件 清单 ， 每 个 可 审计 事件 对 应 于 某 个 事件 级 别 ， 如 低级 、 中 级 、 高 级 。 产 
生 的 审计 数据 有 以 下 几 方 面 。 

(1) 对 于 敏感 数据 项 (如 口令 等 ) 的 访问 。 

(2) 目标 对 象 的 删除 。 

(3) 访问 权限 或 能 力 的 授予 和 废除 。 

(4) 改变 主体 或 目标 的 安全 属性 。 

(5) 标识 定义 和 用 户 授权 认证 功能 的 使 用 。 

每 一 条 审计 记录 中 包含 以 下 信息 : 事件 发 生 的 日 期 、 时 间 、 事 件 类 型 、 主 题 标识 、 
执行 结果 (成功 、 失 败 )、 引 起 此 事件 的 用 户 的 标识 以 及 对 每 一 个 审计 事件 与 该 事件 有 关 
的 审计 信息 等 。 

7) 附加 功能 

除了 提供 以 上 符合 CC 标准 的 功能 之 外 ,审计 系统 还 提供 审计 接口 , 能 够 与 其 他 安 
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全 产品 协同 工作 ， 联 合 防御 。 
4.14.1.3 ”安全 审计 模型 


在 安全 审计 模型 中 ， 当 检测 出 一 个 事件 后 ， 必 须 做 出 决定 该 事件 是 安全 相关 事件 还 
是 与 安全 无 关 的 事件 。 事 件 鉴别 器 接收 到 事件 后 ， 确 定 应 该 产生 安全 审计 消息 ， 或 者 产 
生 安 全 报警 消息 ， 或 者 两 者 都 产生 。 安 全 审计 消息 发 送 到 审计 记录 器 ， 安 全 报警 发 送 到 
报警 记录 器 , 等待 下 一 步 的 评估 和 行动 。 安 全 审计 消息 被 格式 化 ,转换 成 安全 审计 记录 ， 
包括 在 安全 审计 跟踪 里 。 部 分 安全 审计 跟踪 可 能 存档 ， 安 全 审计 跟踪 和 安全 审计 跟踪 的 
存档 都 用 来 产生 安全 报告 ， 这 些 报告 的 来 源 是 针对 特别 的 标准 选择 特别 的 安全 审计 跟踪 
记录 。 总 之 ， 安 全 审计 跟踪 可 能 用 于 分 析 ， 安 全 审计 报告 或 者 安全 报警 的 产生 ， 其 模型 
如 图 4-133 所 示 。 


审计 事件 鉴别 一 一 | 审计 事件 采集 -| 报警 处 理 ”一 | ”报警 行为 | 


一 - 规则 管理 
审计 事件 记录 | 安全 审计 “| 一 一 | ,这 中 证 
i 


安全 审计 存储 安全 审计 报告 


图 4-133 ”安全 审计 模型 


安全 审计 规则 管理 为 保证 系统 在 有 安全 保障 的 条 件 下 有 效 运行 ， 为 审计 管理 员 提 供 
了 详细 的 规则 管理 ,包括 对 来 访 卫 的 过 滤 ， 对 特定 注册 用 户 的 过 滤 ， 对 恶意 刷新 可 自 定 
义 设置 次 数 / 秒 数 的 屏蔽 ， 以 及 对 数据 库 审计 的 各 种 接口 的 管理 。 

安全 审计 事件 鉴别 在 实施 审计 过 滤 体 系 前 对 审计 事件 进行 鉴别 ， 以 确定 哪些 事件 需 
要 重点 审计 ， 据 此 来 配置 相应 的 过 滤器 链 ， 开 发 相应 的 审计 事件 的 记录 组 件 等 。 安 全 审 
计 日 志 采 集 完成 了 安全 审计 的 核心 功能 ， 实 现 了 在 线 日 志 采 集 和 离线 日 志 采 集 。 在 线 日 
志 通 过 访问 者 的 SessionID 可 以 得 到 用 户 访问 的 序列 ， 而 离线 日 志 则 会 触发 过 滤器 组 件 
或 者 数据 库 层 触 发 器 ， 存 储 审计 日 志 于 数据 库 中 。 

安全 审计 日 志 采 用 数据 库存 储 , 主要 包括 用 户 的 访问 日 志和 数据 库 审 计 视 图 。 其 中 ， 
用 户 的 访问 日 志 主要 包括 会 话 标识 符 、 用 户 名 、 卫 地 址 和 资源 等 主要 信息 ; 数据 库 审计 
视图 是 数据 库 系 统 的 一 个 特性 ， 通 过 具体 审计 策略 的 定义 ， 可 以 得 到 相关 实体 操作 、 权 
限 操作 的 记录 ， 以 供 审计 使 用 。 
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安全 审计 报告 要 为 管理 员 提供 各 种 查询 统计 的 接口 ， 以 做 到 有 效 的 追踪 ， 对 具体 操 
作 的 有 据 可 考 。 具 体 包括 对 各 类 别 日 志 的 自 定义 模糊 查询 、 提 取 高 频率 信息 流 、 对 大 量 
访问 日 志 的 细 度 分 析 及 对 海量 日 志 的 转 储 方案 等 。 

安全 审计 报警 处 理 及 报警 行为 对 于 违规 访问 及 恶意 刷新 ， 系 统 会 进行 报警 处 理 ， 自 
动 提取 来 访 或 用 户 名 ， 将 其 置 入 危险 库 或 者 拒绝 服务 用 户 库 ， 再 次 的 访问 将 被 服务 器 
拒绝 。 

同时 ， 日 志 作为 安全 审计 系统 得 到 的 核心 数据 ， 考 虑 其 安全 性 也 是 十 分 必要 的 ， 项 
目 中 通过 数据 库 系 统 设置 和 文件 过 滤器 的 配合 ， 来 控制 对 日 志 物 理 文件 的 访问 ， 以 确保 
日 志文 件 不 被 非 授 权 访 问 和 算 改 。 


4.14.1.4 ”安全 审计 的 流程 


电子 数据 安全 审计 工作 的 流程 是 : 收集 来 自 内 核 和 核 外 的 事件 ， 根 据 相应 的 审计 条 
件 判 断 是 否 是 审计 事件 。 对 审计 事件 的 内 容 按 日 志 的 模式 记录 到 审计 日 志 中 。 当 审计 事 
件 满足 报警 闪 值 时 ， 则 向 审计 人 员 发 送 报警 信息 并 记录 其 内 容 。 当 事件 在 一 定时 间 内 连 
续 发 生 ， 满 足 逐 出 系统 阔 值 ， 则 将 引起 该 事件 的 用 户 逐 出 系统 并 记录 其 内 容 。 

安全 审计 过 程 如 下 。 

(1) 记录 和 搜集 有 关 的 审计 信息 ， 产 生 审计 数据 记录 。 

(2) 对 数据 记录 进行 安全 违反 分 析 ， 以 检查 安全 违反 与 安全 入 侵 原因 。 

(3) 对 其 分 析 产 生 相 应 的 分 析 报表 。 

(4) 评估 系统 安全 ， 并 提出 改进 意见 。 

其 简化 为 三 个 功能 模块 ， 如 图 4-134 所 示 。 


审计 事件 产生 和 收集 一 一 | 事件 安全 审计 审计 结果 发 布 
将 网 络 日 志 定时 接收 日 志 , 并 分 析 在 客户 端 进行 日 
收集 并 实时 传输 过 滤 , 按 固定 格式 志 查 询 并 产生 相 
到 日 志 服 务 器 存放 应 报表 


图 4-134 ”安全 审计 流程 


常用 的 报警 类 型 有 用 于 实时 报告 用 户 试探 进入 系统 的 登录 失败 报警 以 及 用 于 实时 
告 系统 中 病毒 活动 情况 的 病毒 报警 等 。 审 计 人 员 可 以 查询 、 检 查 审 计 日 志 以 形成 审计 
报告 。 检 查 的 内 容 包括 审计 事件 类 型 、 事 件 安全 级 、 引 用 事件 的 用 户 、 报 警 、 指 定时 间 
内 的 事件 以 及 恶意 用 户 表 等 ， 上 述 内 容 可 结合 使 用 。 

基于 主机 的 安全 审计 是 对 每 个 用 户 在 计算 机 系统 上 的 操作 做 一 个 完整 的 记录 ， 主 要 
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包括 系统 启动 、 运 行情 况 、 管 理 员 登 录 、 操 作 情 况 、 系 统 配置 更 改 〈 如 注册 表 、 配 置 文 
件 和 用 户 系统 等 ) 以 及 病毒 或 蠕虫 感染 、 资 源 消耗 情况 的 审计 ， 硬 盘 、CPU、 内 存 、 网 
络 负载 、 进 程 、 操 作 系 统 安全 日 志 、 系 统 内 部 事件 、 对 重要 文件 的 访问 记录 , 便于 发 现 、 
调查 、 分 析 以 及 事后 追查 责任 。 一 般 来 说 ， 安 全 审计 过 程 的 实现 分 为 三 步 : 收集 审计 事 
件 ; 产生 审计 日 志 记 录 ; 根据 记录 进行 安全 分 析 、 生 成 报警 信息 。 审 计 范围 包括 操作 系 
统 和 各 应 用 程序 , 其 中 , 操作 系统 的 审计 主要 是 检测 和 判定 对 系统 的 渗透 和 识别 误 操作 、 
文件 操作 和 操作 命令 的 选择 、 文 件 的 定义 和 自动 转换 、 文 件 系统 完整 性 的 定时 检测 、 信 
息 的 格式 和 输出 媒体 的 格式 、 报 警 阐 值 的 选择 和 设置 、 审 计 日 志 记 录 及 其 数据 的 安全 保 
护 等 。 各 应 用 程序 的 审计 主要 是 针对 应 用 程序 的 某 些 操作 作为 审计 对 象 进行 监视 和 实时 
记录 ， 并 且 根 据 记 录 结 果 判 断 此 应 用 程序 是 否 被 修改 、 安 全 控制 和 正确 运行 ， 判 断 程序 
和 数据 是 否 完整 ， 依 靠 使 用 者 的 身份 、 口 令 验证 和 终端 保护 等 方法 控制 应 用 程序 的 正确 
运行 。 审 计 有 人 工 审 计 ， 计 算 机 手动 分 析 、 处 理 审计 记录 并 与 审计 人 员 最 后 决策 相 结合 
的 半自动 审计 , 依靠 专家 系统 做 出 判断 结果 的 自动 化 的 智能 审计 等 。 为 了 支持 审计 工作 ， 
要 求 数 据 库 管理 系统 具有 高 可 靠 性 和 高 完整 性 。 数 据 库 管 理 系统 要 为 审计 的 需要 设置 相 
应 的 特性 。 


4.14.1.5 ”基于 网 络 的 安全 审计 系统 


网 络 安全 审计 是 一 个 安全 的 网 络 必须 支持 的 功能 特性 。 审 计 是 记录 用 户 使 用 计算 机 
网 络 系统 进行 所 有 活动 的 过 程 ， 它 不 仅 能 够 识别 谁 访 问 了 系统 ， 还 能 指出 系统 正 被 怎样 
地 使 用 ， 对 于 确定 是 否 有 网 络 被 攻击 的 情况 以 及 确定 攻击 源 也 很 重要 。 同 时 ， 系 统 事 件 
的 记录 能 够 更 迅速 和 系统 地 识别 问题 ， 是 网 络 事故 处 理 的 重要 依据 ， 能 够 为 网 络 犯罪 行 
为 及 泄密 行为 提供 取证 基础 。 另 外 ， 通 过 对 安全 事件 的 不 断 收集 、 积 累 并 加 以 分 析 ， 可 
以 有 选择 地 对 某 些 主机 和 用 户 进行 审计 跟踪 和 监控 。 

从 网 络 管理 角度 讲 ， 安 全 审计 便 是 实现 内 部 监督 的 重要 手段 。 内 部 网 络 的 管理 和 安 
全 的 程度 是 因特网 成 熟 的 标志 。 因 此 ， 内 部 的 安全 监督 必 不 可 少 ， 安 全 审计 系统 可 以 有 
效 地 实现 对 内 网 的 安全 监督 。 在 我 国 网 络 快速 发 展 和 应 用 的 过 程 中 ， 包 括 政府 、 学 校 、 
企 事业 单位 和 军队 等 在 内 的 办 公 自 动 化 系统 、 数 字 化 校园 系统 、 电 子 商务 系统 、 电 子 政 
务 和 金融 网 络 等 系统 的 规模 越 来 越 大 ， 构 成 系统 的 网 络 、 计 算 机 系统 不 同 ， 使 用 人 员 和 
技术 水 平 、 安 全 意识 参差 不 齐 ， 确 保 信 息 网 络 安全 已 经 成 为 必须 要 考虑 的 紧迫 问题 。 

当前 ， 网 络 安全 审计 系统 的 发 展 相对 落后 ， 这 和 用 户 的 需求 形成 了 鲜明 对 比 。 网 络 
安全 审计 系统 重点 审计 网 络 访问 行为 及 网 络 报 文 (message)， 就 现实 情况 而 言 ， 国 内 大 
部 分 的 企业 都 已 经 建立 起 了 目 己 的 计算 机 网 络 ， 即 企业 网 (Enterprise Network， 通 常 指 
Intranet)， 但 一 般 都 没有 建立 相应 的 网 络 安全 审计 系统 ， 这 一 方面 是 由 于 缺乏 比较 好 的 
网 络 安全 审计 技术 ， 更 重要 的 一 个 原因 是 大 家 对 网 络 安全 审计 的 认识 存在 不 足 ， 这 从 我 
国 每 年 不 断 发 生 的 网 络 泄密 事件 可 见 一 斑 。 与 Intemet 互 连 的 网 络 安装 防火 墙 、IDS、 杀 
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毒 软件 可 在 一 定 程度 上 解决 网 络 黑客 与 病毒 入 侵 等 问题 ,但 是 对 于 一 个 单位 的 网 络 来 说 ， 
仅仅 有 这 样 的 配置 是 不 够 的 。 一 个 单位 的 网 络 常常 既 要 处 理 来 自 外 部 的 入 侵 ， 也 要 对 内 
部 用 户 访问 外 部 网 络 的 行为 进行 监控 ， 只 有 这 样 ， 一 个 单位 内 部 网 络 连接 到 外 部 网 络 时 
才能 是 比较 安全 的 。 显 然 ， 研 究 并 建立 一 套 与 实际 应 用 需求 相 适 应 的 网 络 安全 审计 系统 
具有 重要 的 现实 意义 。 

网 络 安全 审计 系统 在 设计 上 采用 了 分 布 式 审计 和 多 层次 审计 相 结合 的 独特 方案 。 网 
络 安全 审计 系统 是 对 网 络 系统 多 个 层次 上 的 全 面 审计 。 多 层次 审计 是 指 整个 审计 系统 不 
仅 能 对 网 络 数据 通信 操作 进行 底层 审计 〈 如 网 络 上 的 各 种 Intemet 应 用 )， 还 能 对 系统 
和 平台 (包括 操作 系统 和 应 用 平台 ) 进行 中 层 审 计 ， 以 及 为 应 用 软件 服务 提供 高 层 审计 。 
这 使 它 区 别 于 传统 的 审计 产品 和 IDS 系统 。 

同时 ， 对 于 一 个 地 点 分 散 ， 主 机 众多 ， 各 种 联网 方式 共存 的 大 规模 网 络 ， 网 络 安全 
审计 系统 应 该 覆盖 整个 系统 ， 即 网 络 安全 审计 系统 应 对 每 个 子 系统 都 能 进行 安全 审计 ， 
这 样 才能 保证 整体 的 安全 。 因 此 ， 网 络 安全 审计 系统 除了 是 一 个 多 层次 审计 系统 之 外 ， 
还 是 一 个 分 布 式 的 审计 系统 。 网 络 安全 审计 系统 由 各 种 特定 类 型 的 审计 代理 〈audit 
agent)、 审 计 收 发 器 (audit transceiver)、 审 计 中 心 audit center) 和 审计 控制 台 (audit 
console) 4 部 分 组 成 。 审 计 代理 安置 在 所 有 被 监视 的 网 络 节点 以 及 关键 的 主机 节点 ， 进 
行 审计 数据 的 收集 、 审 计数 据 的 分 析 、 审 计 事 件 的 上 报 和 审计 事件 的 实时 反应 等 工作 。 
审计 收发 器 负责 收集 该 主机 上 所 有 审计 代理 产生 的 审计 事件 ， 将 审计 事件 上 报 审计 中 心 
或 将 审计 事件 在 整个 审计 域 中 相关 的 审计 代理 间 广 播 ;， 同时 根据 审计 中 心 或 审计 控制 台 
发 出 的 审计 指令 对 该 主机 上 的 审计 组 件 进行 控制 ， 如 更 新 配置 、 重 启 和 自 检 等 。 审 计 中 
心 则 完成 审计 事件 的 分 析 、 统 计 和 存储 等 。 审 计 控 制 台 提供 图 形 化 的 用 户 接口 ， 完 成 审 
计 事 件 的 实时 报警 、 安 全 规则 的 制定 、 审 计 组 件 的 控制 管理 等 工作 。 同 时 ， 网 络 安全 审 
计 系 统 还 提供 了 审计 接口 。 审 计 接 口 为 其 他 网 络 安全 设备 及 各 种 应 用 程序 提供 了 进行 审 
计 的 手段 。 其 他 网 络 安全 产品 如 防火 墙 等 可 通过 审计 接口 与 审计 组 件 进行 信息 交换 ， 使 
得 审计 系统 能 够 和 其 他 安全 产品 进行 联合 防御 ， 以 提高 网 络 安全 程度 。 同 时 ， 用 户 所 开 
发 的 应 用 程序 也 可 以 通过 审计 接口 使 得 应 用 程序 能 够 被 审计 系统 进行 审计 ， 以 保护 应 用 
程序 不 受 侵害 。 

各 组 件 的 关系 描述 如 下 。 

(1) 网 络 安全 审计 系统 可 以 分 布 在 任意 多 个 主机 上 ， 每 个 主机 上 可 以 有 任意 多 个 审 
计 代 理 。 

(2) 在 同一 主机 上 的 所 有 审计 代理 向 位 于 该 主机 上 的 审计 收发 器 发 送信 息 。 

(3) 每 台 主 机 只 能 有 一 个 收发 器 ， 负 责 监督 和 控制 该 主机 上 的 所 有 代理 ， 可 以 向 代 
蛙 发 送 控 制 命令 ， 也 可 以 对 代理 所 发 送 来 的 数据 进行 数据 精简 。 

(4) 审计 收发 器 向 审计 中 心 报告 审计 事件 。 

(5) 审计 中 心 监 督 和 控制 所 有 的 审计 发 送 器 。 
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(6) 审计 控制 台 负责 同 用 户 进行 交互 ， 对 整个 审计 系统 进行 管理 ， 从 用 户 界 面 获取 
控制 命令 ， 向 用 户 实时 报警 等 。 

(7) 所 有 部 件 都 为 其 他 部 件 及 用 户 提供 API， 实 现 相互 之 间 的 调用 。 

网 络 安全 审计 系统 的 各 部 分 具体 功能 如 下 。 

1) 审计 代理 

整个 审计 体系 的 基础 由 分 布 在 审计 节点 上 的 审计 代理 构成 。 这 些 审计 代理 是 独立 运 
行 的 软件 或 模块 ， 根 据 不 同 的 需求 安装 在 不 同 的 系统 中 ， 完 成 不 同 的 功能 。 这 些 代理 通 
过 网 络 旁 路 接 入 和 系统 嵌入 的 方式 与 实际 运行 的 系统 连接 ， 采 用 被 动 或 主动 的 方式 获取 
信息 ， 根 据 事先 定义 好 的 安全 策略 进行 分 析 ， 生 成 审计 事件 ， 上 报 审计 中 心 ， 并 且 在 某 
些 情况 下 还 将 作用 于 实际 运行 系统 配合 响应 机 制 的 完成 。 主 要 功能 如 下 。 

(1) 审计 数据 生成 。 

(2) 分 析 审 计数 据 ， 生 成 审计 事件 。 

(3) 审计 事件 的 记录 和 跟踪 。 

(4) 安全 事件 的 实时 报警 。 

(5) 及 时 对 网 络 及 设备 进行 控制 ， 消 除 安全 威胁 。 

产生 审计 事件 的 因素 如 下 。 

(1) 身份 认证 机 构 不 能 确认 的 身份 。 

(2) 访问 安全 等 级 不 相符 合 的 数据 。 

(3) 对 系统 运行 产生 重要 影响 的 动作 。 

(4) 其 他 与 安全 相关 的 动作 。 

每 一 条 审计 事件 中 包含 以 下 信息 : 事件 发 生 的 日 期 、 时 间 、 事 件 类 型 、 主 题 标识 、 
执行 结果 成功、 失败) 引起 此 事件 的 用 户 的 标识 以 及 对 每 一 个 审计 事件 与 该 事件 有 关 
的 审计 信息 。 

这 些 审计 代理 大 致 分 为 4 类 。 

。 网 络 监听 式 审计 代理 : 安装 在 专用 审计 硬件 系统 上 ， 或 者 通用 PC Server 的 NT 

操作 系统 上 ， 通 过 对 网 络 上 传输 的 数据 包 进 行 截获 和 分 析 的 方式 运行 。 例 如 ， 入 
侵 检测 审计 代理 、 流 量 监控 审计 代理 、 典 型 应 用 审计 代理 、 文 件 共享 审计 代理 和 
网 管 操作 审计 代理 。 

。 主机 操作 系统 审计 代理 : 安装 在 服务 器 上 ， 媒 入 在 UNIX 或 者 NT 操作 系统 中 

通过 收集 操作 系统 日 志和 内 部 安全 事件 的 方式 运行 。 例 如 ，NT 操作 系统 审计 代 
理 、Solaris 操作 系统 审计 代理 和 HP_UX 操作 系统 审计 代理 。 

。 主动 获取 式 审计 代理 : 通过 主动 向 预定 的 目标 以 标准 格式 发 送 请 求 ， 接 收回 应 ， 
然后 判断 的 方式 运行 。 例 如 ， 网 络 设备 MIB 采样 审计 代理 、 漏 洞 扫描 审计 代理 。 
应 用 型 审计 代理 : 本 身 是 一 个 应 用 ， 但 能 够 向 审计 中 心 发 送审 计 事件 ， 进 行 报警 
或 通报 日 常数 据 。 例 如 ， 文 件 完整 性 审计 代理 等 。 
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审计 代理 同时 也 具有 很 强 的 自治 性 。 其 自治 性 主要 体现 在 它们 是 独立 运行 的 实体 ， 
可 以 将 它们 看 成 是 一 个 独立 的 进程 或 进程 组 ， 它 们 的 执行 只 与 操作 系统 的 调度 有 关 ， 而 
与 其 他 进程 无 关 。 尽 管 代理 间 可 能 需要 进行 数据 通信 ， 但 仍 认为 它 是 自治 的 。 自 治 代理 
的 引入 可 以 改善 网 络 安全 审计 系统 的 健壮 性 和 可 扩展 性 。 由 于 代理 是 相互 独立 运行 的 实 
体 ， 它 们 的 运行 和 删除 不 会 影响 到 其 他 组 件 的 运行 ， 使 得 整个 系统 不 用 重启 。 可 以 根据 
系统 的 需要 ， 灵 活 地 增加 任意 多 的 代理 和 开发 新 的 针对 特定 应 用 的 代理 ， 只 要 它们 符合 
审计 系统 各 组 件 间 的 逻辑 关系 并 以 同样 的 审计 协议 进行 数据 通信 。 

2) 审计 收发 器 

审计 收发 器 作为 该 主机 上 的 审计 代理 与 审计 域 中 其 他 的 审计 组 件 进行 通信 的 中 介 。 
主要 功能 如 下 。 

(1) 收集 该 主机 上 所 有 审计 代理 产生 的 审计 事件 。 

(2) 将 审计 事件 上 报 审 计 中 心 。 

(3) 将 审计 事件 在 相关 审计 代理 间 广 播 。 

(4) 对 该 主机 上 的 审计 组 件 进行 控制 。 

3) 审计 中 心 

审计 中 心 收集 由 审计 收发 器 送 来 的 审计 事件 ， 具 有 分 析 、 统 计 和 存储 等 功能 。 

。 分 析 : 分 析 安 全 审计 事件 与 系统 运行 状况 。 

。 统计 : 根据 审计 事件 进行 统计 汇总 。 

。 存储 : 对 审计 事件 进行 分 析 后 存 入 相应 的 数据 库 。 

4) 审计 控制 台 

审计 系统 的 图 形 化 用 户 接口 。 系 统管 理 员 通过 该 接口 对 整个 安全 审计 系统 进行 控制 
管理 ， 通 过 它 能 创造 、 维 护 、 访 问 审计 系统 所 保护 的 对 象 的 审计 踪迹 ， 对 系统 进行 配 
置 等 。 

。 实时 报警 : 安全 事件 的 实时 浏览 。 

。 分 级 控制 : 不 同 级 别 的 用 户 能 对 审计 系统 进行 不 同 程度 的 控制 管理 。 

。 检索 : 供 系 统管 理 员 检索 历史 的 安全 事件 。 

。 审计 事件 选择 : 为 各 个 审计 代理 设置 特定 的 安全 策略 。 

。 审计 组 件 管理 : 包括 组 件 的 配置 、 存 储 管理 、 时 钟 管理 和 数据 库 管理 。 


4.14.2 审计 工具 


4.14.2.1 审计 工具 分 类 


审计 的 内 容 多 种 多 样 ， 为 了 不 同 的 目的 可 以 采取 不 同 的 方法 和 工具 。 审 计 工具 按照 
不 同 的 目的 可 以 分 为 如 下 几 类 。 
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(1) 行为 审计 。 实 时 监测 网 络 中 的 应 用 情况 ， 对 用 户 网 络 的 各 种 应 用 行为 (网 站 访 
问 、 收 发 邮件 、 上 传 和 下 载 、 即 时 通信 、 网 络 游戏 和 视频 等 ) 进行 监测 、 报 警 、 记 录 和 
审计 ; 统计 网 络 各 种 应 用 流量 和 用 户 人 P 流量 ， 了 解 网 络 带宽 和 应 用 的 使 用 ， 发 现存 在 的 
问题 ， 提 高 网 络 使 用 效率 。 通 过 丰富 的 审计 数据 和 统计 数据 ， 及 时 发 现 异 常 应 用 ， 帮 助 
管理 者 快速 分 析 定 位 问题 对 象 。 

(2) 内 容 审计 。 对 用 户 的 网 络 应 用 内 容 进 行 监测 审计 ， 可 以 设 定 地 址 、 用 户 名 和 应 
用 协议 等 监测 条 件 对 应 用 内 容 进 行 审计 ， 也 可 以 设 定 关键 词 、 组 合 词 和 模糊 匹配 对 特定 
的 应 用 内 容 《〈 网 页 、 邮 件 、 上 传 下 载 、 即 时 通信 和 聊天 的 文字 内 容 ) 进行 监测 审计 。 

(3) 主机 审计 。 实 时 对 网 络 中 服务 器 和 用 户 终端 的 访问 与 操作 进行 监测 审计 ， 可 以 
掌握 每 个 主机 的 资源 使 用 情况 ， 监 测 主 机 接 入 的 合法 性 ， 记 录 对 文件 系统 的 访问 操作 行 
为 ， 记 录 对 各 外 设 的 操作 ， 监 测 加 载 的 程序 和 进程 ， 监 控 对 外 部 网 络 的 连接 和 访问 。 

(4) 数据 库 审计 。 实 时 监测 对 数据 库 服务 器 的 网 络 访问 行为 ， 对 系统 操作 和 数据 操 
作 进 行 记录 ， 监 测 和 报警 数据 库 操 作 中 的 越权 、 敏 感 或 违规 行为 ， 审 计 重 要 的 数据 库 操 
作 细 节 。 

目前 常见 的 日 志 审计 系统 有 LogBase 日 志 管 理 综合 审计 系统 、NetSC 日 志 审计 系统 
和 XLog 网 络 日 志 审 计 系 统 等。 常见 的 网 络 安全 审计 工具 有 Netlooker、SmartMonitor、 
Ratproxy 和 S_Audit 等 。 


4.14.2.2 ”审计 工具 简介 


1. LogBase 

LogBase 日 志 管理 综合 审计 系统 以 保障 信息 系统 的 稳定 安全 为 出 发 点 ， 全 面 获取 和 
收集 各 类 信息 日 志 ， 通 过 实时 和 事后 的 审计 分 析 ， 为 用 户 预防 和 及 时 发 现 整 个 系统 各 组 
成 部 分 〈 网 络 、 服 务 器 、 应 用 、 安 全 设备 、 终 端 ) 的 运行 故障 、 敏 感 操 作 和 安全 事件 独 
有 的 日 志 专用 数据 库 和 动态 索引 机 制 ， 可 以 满足 海量 日 志 信息 的 集中 存储 和 高 速 检 索 ， 
为 各 类 异常 事件 的 追查 和 恢复 提供 有 效 依据 。 该 系统 能 够 审计 的 日 志 包 括 各 类 网 络 设备 
(交换 机 、 路 由 器 ) 的 系统 日 志 、 各 类 UNIX/Linux 操作 系统 的 系统 日 志 及 其 他 审计 信息 、 
Windows 平台 事件 的 日 志 内 容 及 其 他 审计 信息 、 各 类 应 用 服务 的 系统 和 访问 日 志 、 各 类 
网 络 安全 设备 日 志 等 。 

2. NetSC 

NetSC 日 志 审 计 系统 由 LogServer、LosgViewer 和 LogAuditer 三 个 部 分 组 成 ， 具 有 操 
作 界 面 简 单 、 直 观 易 用 、 稳 定性 好 、 易 维护 及 易 移 植 等 诸多 特性 ， 可 以 为 企 事业 内 部 局 
域 网 和 连接 Interet 用 户 提供 一 套 全 面 安 全 的 解决 方案 。 该 系统 能 实时 地 监测 网 络 上 和 
用 户 系统 中 发 生 的 与 安全 相关 的 事件 ， 并 将 这 些 情况 真实 、 详 尽 而 完善 地 进行 记录 ， 在 
必要 时 能 提供 宝贵 的 数据 ， 并 具有 防 销 毁 和 自 改 的 功能 。 同 时 该 系统 提供 了 完善 的 日 志 
审计 功能 ， 可 以 从 不 同 的 角度 进行 查询 和 统计 ， 并 将 结果 以 不 同 的 方式 进行 显示 。 
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3. XLog 

XLog 网 络 日 志 审 计 系统 ， 可 以 与 路 由 器 、 交 换 机 等 网 络 设 备 共同 组 网 ， 根 据 用 户 
要 求 采集 不 同类 型 的 网 络 流量 信息 ， 并 通过 聚合 、 分 析 与 统计 ， 为 网 络 管理 员 提供 用 户 
行为 审计 、 流 量 异 常 监控 和 网 络 部 署 优化 的 数据 基础 和 决策 依据 。XLog 支持 多 种 类 型 
网 络 流量 日 志 的 处 理 ， 管 理 员 可 以 依据 网 络 设备 的 特性 、 网 络 拓扑 的 特点 以 及 日 志 分 析 
的 目标 等 因素 灵活 选择 日 志 采 集 和 分 析 模 式 ， 实 时 记录 稍 纵 即 逝 的 网 络 流量 信息 。NAT 
日 志 可 以 通过 NE 系列 路 由 器 、BAS 等 设备 记录 NAT 转换 前 的 源 他 地 址 、 源 端口 ， 经 
过 NAT 转换 后 的 源 卫 地 址 、 源 端口 ， 以 及 所 访问 目的 的 耳 、 目 的 端口 、 协 议 号 、 开 始 
时 间 和 结束 时 间 等 关键 信息 。 FLOW 日 志 记录 了 用 户 访问 外 部 网 络 的 流 信 息 , 包括 源 卫 、 
目的 卫 、 源 端口 、 目 的 端口 、 流 起 始 时 间 、 结 束 时 间 以 及 出 入 流量 等 关键 信息 。 通 过 
XLog 对 FLOW 日 志 的 分 析 与 统计 ， 可 以 形成 网 络 使 用 状况 报表 ， 如 各 部 门 流量 统计 、 
应 用 使 用 量 统计 和 应 用 吞吐 量 趋势 等 报表 ， 可 以 帮助 管理 员 及 时 掌握 网 络 的 运行 状态 。 
DIG 日 志 又 称 为 探 针 日 志 ， 是 由 探 针 型 采集 器 直接 从 交换 机 的 镜像 端口 、 共 享 式 HUB 
或 分 流 器 中 采集 的 用 户 上 网 信息 ， 并 对 访问 网 络 的 数据 流 进 行 分 类 统计 和 内 容 摘要 而 生 
成 的 日 志 记录 。 探 针 型 采集 器 具有 良好 的 适应 性 ， 可 以 应 用 于 不 支持 NAT、FLOW 日 志 
生成 的 网 络 环境 。 

基于 日 志 的 网 络 安全 审计 系统 采用 了 B/S 结构 .HF 防火 墙 .IDS 入 侵 监 测 系统 、IPPS 
信息 保护 系统 将 产生 的 日 志 实时 地 发 送 给 基于 日 志 的 网 络 安全 审计 系统 ， 基 于 日 志 的 网 
络 安全 审计 系统 把 日 志 记录 存储 在 数据 库 ， 用 户 可 以 通过 基于 日 志 的 网 络 安全 审计 系统 
的 用 户 控制 台 审计 分 析 日 志 。 基 于 日 志 的 网 络 安全 审计 系统 综合 审计 这 三 种 安全 产品 产 
生 的 日 志 ， 能 够 更 有 效 地 审计 系统 的 安全 ， 同 时 使 得 这 三 种 安全 产品 不 用 处 理 庞大 的 日 
志 数 据 而 浪费 大 量 的 系统 资源 。 

4. Netlooker 

Netlooker 网 络 信息 安全 审计 系统 由 网 络 的 行为 审计 、 内 容 审 计 、 主 机 审计 和 数据 库 
审计 4 大 功能 模块 构成 ， 既 可 以 满足 高 端 用 户 的 一 体 化 综合 安全 审计 需求 ， 也 可 以 根据 
用 户 的 需求 定制 某 一 种 需求 的 安全 审计 。 该 产品 采用 B/S 结构 和 RIA 界面 设计 ， 具 备 强 
大 的 网 络 数据 实时 侦 听 、 协 议 解析 和 数据 还 原 分 析 功 能 ， 实 现 对 网 络 、 主 机 和 数据 库 的 
访问 和 使 用 行为 、 信 息 内 容 的 监控 审计 ， 可 以 有 效 地 实现 对 网 络 中 的 各 种 应 用 及 信息 内 
容 的 可 控 监 管 ， 防 止 利用 网 络 泄露 党 政 军 的 涉 密 信 息 和 企业 内 部 核心 信息 ; 可 以 预防 传 
播 与 社会 和 谐 稳定 相悖 的 不 良 信息 ， 规 范 上 网 行为 ， 可 以 监测 统计 各 种 应 用 流量 ， 为 合 
理 地 使 用 网 络 资源 ， 提 高 网 络 效能 。 

Netlooker 是 新 一 代 企 业 上 网 监控 软件 ， 其 强大 的 功能 、 优 秀 的 性 能 、 简 洁 实用 的 界 
面 决定 了 其 高 品质 ， 是 业内 领先 的 一 款 不 可 多 得 的 上 网 监控 软件 。 内 置 具有 世界 领先 水 
平 的 内 核 抓 包 引擎 Kercap 保证 了 软件 的 高 稳定 性 和 高 效 性 ; 优秀 的 构架 设计 及 模块 化 设 
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计 保 证 了 软件 的 高 品质 ， 功 能 强大 的 内 容 分 析 引 擎 和 高 效 的 索引 算法 保证 了 软件 的 高 性 
能 ; 简单 易 用 ， 功 能 强大 ， 实 用 有 效 。Netlooker 基于 网 卡 物理 地 址 跨 网 段 (任何 VLAN 
环境 )、 跨 平台 进行 网 络 监控 ,可 以 向 网 络 中 任何 一 台 机 器 发 送 短 消 息 ， 对 网 络 中 机 器 名 
和 IP 的 改动 进行 自动 报警 ， 及 时 发 现 网 络 中 的 不 良 状况 。 控 制 BT、 禁 止 QQ 等 P2P 的 
即时 通信 工具 ， 防 止 网 络 带 宽 被 占用 ， 对 网 络 中 计算 机 进行 流量 控制 ， 合 理 分 配 和 管理 
网 络 带宽 ， 监 控 所 有 HTTP、FTP 文件 的 上 传 或 者 下 载 (各 种 上 传 或 者 下 载 方式 )。 可 禁 
止 网 页 粘贴 、 论坛 留言 和 Web 邮件 等 所 有 通过 HTTP 协议 的 网 络 外 发 行为 , 使 单位 领导 
不 再 担心 员工 利用 单位 计算 机 在 网 上 发 布 不 恰当 的 网 络 言论 ， 不 再 担心 企业 商业 秘密 或 
重要 文档 通过 因特网 外 泄 。 不 仅 可 对 每 台 计 算 机 的 上 网 流量 进行 统计 查询 ， 而 且 还 可 以 
根据 工作 需要 对 它们 进行 流量 控制 ， 带 宽 控 制 ， 控 制 BT 下 载 并 报警 ， 防 止 网 络 带 宽 被 
大 量 无 效 占用 , 使 因特网 资源 真正 得 到 有 效 合理 地 分 配 。 可 实时 记录 MSN、Yahool、ICQ 
和 QQ 聊天 室 等 即时 通信 工具 的 聊天 内 容 ， 禁 止 QQ， 并 对 QQ 号 码 以 及 其 聊天 过 程 进 
行 全 程 记 录 。 网 络 中 机 器 名 和 人 P 地 址 的 任何 改动 都 会 进行 自动 报警 提示 , 在 线 报警 信息 
实时 反映 网 络 出 现 的 不 良 状况 ， 使 网 络 安全 危险 和 隐患 能 在 第 一 时 间 发 现 和 人 解决， 管理 
者 还 可 通过 系统 向 违规 者 发 送 短 消息 以 进行 警告 。 在 线 动态 显示 当前 上 网 和 未 上 网 的 机 
器 ， 使 管理 者 对 整个 局 域 网 计算 机 使 用 状态 一 目 了 然 。 在 线 动态 显示 机 器 上 网 信息 、 聊 
天 内 容 、 禁 止 QQ 信息 、 邮 件 日 志 、 上 传 下 载 日 志 ， 并 可 针对 某 台 机 器 或 某 组 机 器 的 网 
上 行为 实现 在 线 实 时 监控 。 可 对 VIP 机 器 进行 不 做 任何 监控 的 放行 设置 .也 可 对 相关 网 址 
或 端口 进行 不 做 任何 监控 的 放行 设置 。 可 在 任意 时 间 段 对 任何 组 和 单机 建立 各 种 管理 规 
则 进行 上 网 管理 ， 操 作 灵 活 方便 ， 使 管理 者 能 对 因特网 实现 最 大 限度 的 个 性 化 管理 。 基 
于 网 络 层 进行 控制 ， 对 IP 地 址 进行 控制 管理 ， 可 以 只 允许 通过 指定 的 IP 也 可 以 阻止 指 
定 的 地段。 基于 传输 层 进行 控制 ， 对 端口 进行 控制 管理 ， 可 以 只 允许 通过 指定 端口 ,也 
可 以 阻止 指定 的 端口 范围 。 通 过 对 不 同 级 别 、 不 同 用 户 分 配 不 同 的 管理 权限 ， 可 实现 多 
级 别 、 多 用 户 对 系统 进行 远程 操作 控制 ， 使 整个 因特网 管理 有 条 有 序 ， 层 次 分 明 。 不 仅 
可 禁止 所 有 HTTP、FTP 文件 的 上 传 或 者 下 载 (各 种 上 传 或 者 下 载 方式 ) ， 而 且 可 针对 
上 传 或 下 载 的 文件 格式 进行 各 种 形式 的 控制 ， 使 上 传 下 载 的 控制 管理 更 加 灵活 和 有 针对 
性 。 可 对 通过 SMTP 协议 发 邮件 和 通过 POP3 收 邮件 的 收发 邮箱 进行 上 网 管理 ， 如 只 能 
收发 到 指定 的 邮箱 或 指定 的 邮箱 才能 收发 。 完 善 库 管理 ， 程 序 自 带 色情 反动 库 、 聊 天 库 、 
游戏 库 、 财 经 证 券 库 、 搜 索引 擎 库 、 招 聘 库 、 电 影 休 闲 库 、 过 滤 关 键 词 库 和 自 定 义 网 址 
库 9 大 网 址 库 ， 用 户 还 可 以 自己 管理 相应 的 9 个 自 定义 网 址 库 ， 和 9 个 系统 自 带 网 址 库 
协同 工作 ， 完 成 整个 网 络 监控 的 过 滤 工 作 。 完 整 记录 所 有 机 器 的 上 网 信息 且 可 进行 ， 包 
括 机 器 名 、 源 MAC 地 址 、 源 下 地址 、 源 端口 、 目 的 MAC 地 址 、 目 的 他 地 址 、 目 的 端 
口 地 址 、 操 作 类 型 、 服 务 类 型 、 协 议 类 型 、 标 题 、 内 容 以 及 时 间 。 可 以 将 机 器 按 外 或 者 
VLAN 分 成 不 同 的 组 进行 系统 管理 , 可 以 增添 和 删除 组 .在 实时 显示 每 台 机 器 的 他 地 址 、 
机 器 名 和 MAC 地 址 的 基础 上 ， 管 理 员 可 以 将 每 台 机 器 进行 标志 名 设 定 以 方便 对 系统 进 
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行 统一 管理 。 可 统计 和 查询 各 组 或 者 每 台 计 算 机 的 上 网 字 节 数 和 整个 网 络 的 总 流量 。 可 
以 对 单机 或 者 组 查询 统计 其 在 任意 时 间 段 上 的 具体 上 网 行为 和 内 容 。 可 分 别针 对 TCP 协 
议 、UDP 协议 、ICMP 协议 和 IGMP 协议 4 大 协议 进行 网 上 日 志和 内 容 的 统计 查询 。 可 
分 别针 对 Web 浏览 、Web 张贴 、 文 件 上 传 、 文 件 下 载 、 发 送 邮件 、 接 收 邮件 、 游 戏 记 
录 、 远 程 登录 、QQ 聊天 、MSN 聊天 、ICQ 聊天 、Yahoo 聊天 、P2P 信息 、 报 警 日 志和 
禁止 QQ 等 各 种 服务 类 型 进行 统计 查询 。 方 便 实 用 的 日 志 导出 功能 ， 使 管理 员 可 将 监控 
日 志 导出 做 统一 存储 或 分 析 。 所 有 日 志文 件 不 仅 可 另存 为 文本 文件 , 而 且 可 另存 为 Excel 
文件 ， 且 都 可 打印 输出 。 可 将 整个 软件 的 信息 备份 导出 另存 ， 方 便 以 后 安装 时 不 用 再 
设置 。 

$5. SmartMonitor 

SmartMonitor 是 一 款 工作 于 PC 上 的 网 络 信息 审计 软件 , 通过 和 Vigor 系列 路 由 器 的 
整合 ， 对 网 络 数据 进行 获取 、 过 滤 、 分 析 ， 从 中 将 用 户 关 心 的 内 容 提取 出 来 并 还 原 为 具 
有 很 好 可 读 性 的 格式 ， 生 成 各 种 报表 ， 供 企业 管理 人 员 参 考 。 企 业 管理 人 员 经 常 遇 到 以 
下 困扰 :上 班 时 间 聊 天 软件 使 用 过 多 ， 影 响 工作 效率 ， 滥用 带宽 进行 下 载 ， 导 致 正常 应 
用 的 拥塞 ， 公 司机 密 通过 聊天 软件 等 工具 泄漏 。SmartMonitor 是 针对 企业 用 户 经 常 遇 到 
的 这 些 问 题 量 身 定 造 的， 首先 要 做 的 ， 就 是 解决 企业 的 网 络 问题 。 通 过 对 网 络 信息 的 审 
计 ，SmartMonitor 可 以 有 效 地 帮助 企业 管理 人 员 解 决 由 网 络 应 用 派生 出 的 各 种 问题 。 无 
论 是 上 网 记录 、 邮 件 记录 还 是 聊天 记录 ， 下 载 文件 ，SmartMonitor 都 可 以 分 析 整 理 得 井 
井 有 条 ， 检 查 起 来 非常 方便 。SmartMonitor 不 仅仅 是 为 了 管理 而 管理 ， 它 同时 为 企业 用 
户 带 来 了 全 新 的 主动 管理 的 理念 。 传 统 的 管理 模式 是 被 动 管理 ， 员 工 总 是 在 被 管理 人 员 
关注 并 通知 甚至 警告 之 后 ， 才 会 约束 自己 的 行为 ， 由 此 容易 让 员工 产生 抵触 情绪 ， 而 且 
会 带 来 一 些 管理 问题 。 而 SmartMonitor 针对 此 情况 ,通过 提供 Top10 排名 功能 ， 让 员工 
可 以 随时 自己 去 查看 各 种 网 络 应 用 的 Top10 排名 , 例如 聊天 Top10、 下 载 Top10 等 , 当 “ 榜 
上 有 名 "时, 员工 看 到 就 会 进行 自我 约束 , 从 而 形成 一 种 自我 管理 的 概念 。 值 得 一 提 的 是 ， 
SmartMonitor 还 提供 了 报表 功能 ， 可 以 随时 生成 离线 报表 ， 发 送 给 相关 人 员 进 行 查看 。 
主要 功能 包括 网 络 服务 记录 分 析 、 聊 天 软件 使 用 记录 “记录 每 个 用 户 对 聊天 软件 的 使 用 
记录 ， 不 仅 记 录 聊 天 数 ， 对 于 常用 的 MSN、ICQ 和 Yahoo Messenger， 还 可 以 将 聊天 内 
容 进行 记录 还 原 ， 在 需要 时 进行 查阅 )、 邮 件 使 用 记录 (对 POP3、SMTP 接收 、 发 送 的 
邮件 进行 记录 、 发 件 人 、 收 件 人 信息 、 邮 件 标题 、 正 文 以 及 附件 ， 全 部 都 可 以 保存 )、 上 
网 记录 (统计 每 个 用 户 的 上 网 情况 ， 记 录 访问 过 的 所 有 网 页 记录 ， 可 以 轻松 了 解 每 个 人 
每 天 访问 网 站 的 情况 )、FTP 记录 (FTP 下 载 /上 传记 录 ， 可 以 将 fp 地 址 ， 用 户 名 和 密码 
全 部 记录 下 来 ， 下 载 /上 传 的 文件 也 进行 保存 。 可 以 随时 查看 )、Telnet 记录 (记录 Telnet 
的 使 用 记录 ，BBS 访问 的 内 容 可 以 全 部 记录 下 来 备查 )、P2P 记录 〈 记 录 通 过 BT/Emule 
进行 的 网 络 下 载 流 量 ， 及 时 发 现 带 宽 的 滥用 问题 ， 通 过 网 络 记录 功能 ， 常 见 的 网 络 带宽 
使 用 情况 都 可 以 进行 分 析 和 记录 )、 用 户 权限 管理 、 基 于 用 户 监控 内 容 〈 可 以 为 每 个 用 户 
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设 定 监控 内 容 ， 监 控 指 定 用 户 的 指定 信息 。 对 于 不 需要 监控 的 用 户 ， 可 以 设 定 不 监控 )、 
用 户 分 组 、 管 理 员 权 限 管理 、 系 统 资源 管理 、 查 看 服务 器 资源 使 用 (显示 服务 器 软 硬 件 
信息 以 及 当前 使 用 状况 , CPU、 内 存 和 硬盘 等 使 用 情况 ,以 便 急 时 调整 设置 )、 用 户 分 析 、 
基于 用 户 的 网 络 服务 记录 (可 以 根据 用 户 对 各 种 网 络 服 务 进行 查看 ， 当 需要 重点 查看 某 
用 户 的 网 络 使 用 记录 时 , 该 功能 可 以 非常 方便 地 将 该 用 户 的 网 络 使 用 情况 列 出 )、 用 户 流 
量 分 析 〔 以 排名 方式 列 出 每 个 用 户 的 网 络 流量 使 用 情况 ， 方 便 网 络 管理 人 员 决 定 如 何 调 
整 网 络 带宽 分 配 )、 报表 生成 (服务 流量 报表 将 每 日 各 种 网 络 服务 的 流量 状况 以 图 表 形 式 
显示 出 来 ， 可 以 看 出 每 个 时 间 段 网 络 的 使 用 情况 ， 为 网 络 管理 人 员 调 整 网 络 管理 状况 提 
供 依据 )、 统 计 信息 、 离 线 日 报表 (生成 PDF 格式 的 日 报表 ， 直 接 发 送 到 管理 员 信箱 ， 
无 须 连接 到 服务 器 也 可 以 直接 查看 报表 )、Top10〔 用 户 网 络 使 用 Top10 针对 每 种 网 络 应 
用 ， 列 出 Top10 用 户 图 表 ， 该 图 表 可 以 选择 开放 给 所 有 用 户 ， 以 便 让 每 个 用 户 都 可 以 看 
到 自己 的 网 络 应 用 情况 ， 从 而 由 完全 的 被 动 管理 转向 主动 ， 自 觉 的 自我 管理 ， 用 户 在 发 
现 自己 在 Top10 名 列 前 茅 之 后 ， 如 果 是 非 工 作 相关 的 流量 ， 则 会 意识 到 自己 有 可 能 会 被 
管理 人 员 注 意 到 ， 从 而 进行 主动 的 自我 约束 ， 减 少 非 工作 网 络 使 用 。 企 业 的 工作 效率 可 
以 因此 而 获得 提升 )、 数 据 库 管理 、 数 据 备份 、 数 据 恢复 和 数据 清除 。 

6. Ratproxy 

Ratproxy 是 Google 的 一 款 内 部 安全 工具 ， 可 以 分 析 很 多 问题 ， 如 存在 威胁 的 跨 站 
脚本 包含 、 对 伪造 的 跨 站 请 求 防范 不 足 、 缓 存 问题 ， 潜 在 的 XSS、 可 能 不 安全 的 跨 站 代 
码 包 含 策略 、 信 息 泄 露 ， 不 一 而 足 。 用 于 被 动 地 审核 Web 应 用 的 安全 性 。 作 为 一 款 被 动 
工具 ，Ratproxy 会 监视 浏览 器 与 Web 应 用 之 间 的 交互 。 它 的 工作 方式 使 它 比 传统 方法 具 
备 以 下 优势 : 不 会 破坏 现 有 Web 应 用 ， 低 投入 、 高 产 出 ， 可 以 保留 用 户 与 Web 应 用 交 
互 的 控制 流 , 在 脚本 行为 中 的 WYSIWYG( 所 见 即 所 得 ) 数 据 , 简化 了 过 程 整合 。 Ratproxy 
明确 地 关注 当代 Web 2.0 应 用 中 优先 级 最 高 的 问题 ， 为 它们 提供 简明 的 报告 ， 给 予 用 户 
充分 的 自由 ， 以 可 重复 的 方式 来 完成 这 些 工 作 。 用 户 不 会 再 被 大 量 原始 的 HTTP 流量 数 
据 淹 没 ， 而 且 这 个 工具 远 不 仅仅 是 一 个 人 工 干预 应 用 程序 的 框架 。 

7. S_Audit 

S_Audit 网 络 安全 审计 系统 能 够 在 不 影响 网 络 自身 性 能 的 前 提 下 ， 实 现 对 网 络 进行 
全 面 的 安全 审计 ， 全 面 掌 握 网 络 内 部 的 使 用 情况 。 系 统 可 以 检测 并 记录 网 络 内 部 传输 的 
信息 ， 及 时 发 现 并 制止 机 密 信息 的 泄露 和 窃取 ， 减 少 网 络 资源 的 小 用， 制止 网 络 中 的 违 
规 行为 。 系 统 强大 的 网 络 安全 审计 能 力 极 大 地 增强 了 网 络 安全 整体 防范 和 预警 能 力 ， 适 
用 于 政府 、 金 融 、 电 信和 大 型 事业 单位 等 各 个 领域 中 相对 隔离 的 网 络 环境 。 主 要 功能 为 
支持 多 种 典型 应 用 的 全 面 审 计 ， 包 括 Telnet、HTTP、FTP、SMTP 和 POP3 等 ; 全 面 记 
录 并 能 完整 还 原 应 用 全 过 程 、 针 对 NetBIOS/Samba 协议 文件 共享 审计 功能 ; 对 重要 客户 
机 重要 文件 和 目录 进行 防护 ， 实 现 主 机 服务 端口 审计 功能 ;能 够 及 时 、 有 效 地 发 现 主机 
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系统 是 否 被 黑客 设置 后 门 ， 发 现 系 统 中 异常 的 服务 ; 具备 强大 的 流量 监测 和 历史 流量 查 
询 功能 ， 图 形 化 显示 网 络 应 用 情况 ， 发 现 网 络 异 常 流量 以 及 峰值 瓶颈 ， 提 供 灵活 的 用 户 
自 定义 审计 功能 ;实现 用 户 对 特定 网 络 应 用 进行 的 审计 需求 ， 提 供 完善 和 丰富 的 ， 包 括 
专业 化 报表 和 分 析 图 形 在 内 的 报表 功能 ， 并 支持 E-mail 自动 发 送 功能 ， 同 时 支持 通过 
Web 方式 和 客户 端 方式 查看 报警 。 具 有 如 下 特点 : 多 种 审计 类 型 可 供 选 择 ， 有 效 地 对 全 
网 进行 安全 审计 ;强大 的 审计 还 原 能 力 ， 可 对 审计 内 容 进行 直观 再 现 ， 可 自 定义 审计 规 
则 ， 满 足 用 户 的 非典 型 环境 审计 的 需要 ; 多样 化 的 安全 响应 措施 ， 支 持 记录 、 报 警 、 中 
断 、 防 火 墙 联动 ， 报 警 到 网 管 系统 等 手段 ， 专 业 化 的 安全 规则 配置 向 导 ， 灵 活 的 规则 设 
置 功能 ， 采 用 旁 路 式 网 络 接 入 技术 ， 不 需 更 改 任何 网 络 拓扑 ， 不 影响 网 络 应 用 ;适应 各 
种 环境 的 网 络 接 入 ， 支 持 百 兆 、 千 兆 和 2.5G POS 等 网 络 环境 ;层次 化 、 易 扩展 型 的 体 
系 结构 ， 完 善 的 集中 告警 功能 与 强大 的 远程 管理 功能 。 


4.15 ”安全 管理 制度 


4.15.1 信息 安全 管理 制度 的 内 容 


信息 安全 管理 制度 是 通过 维护 信息 的 机 密 、 完 整 性 和 可 用 性 ， 来 识别 、 评 估 、 管 理 
和 保护 组 织 所 有 的 信息 资产 ， 制 定 和 实施 安全 策略 、 安 全 标准 、 安 全 方针 和 安全 措施 的 
一 种 体制 。 计 算 机 及 其 网 络 系统 的 安全 管理 是 计算 机 安全 的 重要 组 成 部 分 ， 安 全 管理 贯 
穿 于 计算 机 网 络 系统 设计 、 运 行 和 维护 的 各 个 阶段 ， 既 包括 行政 手段 ， 又 包括 技术 措施 。 
在 系统 的 设计 阶段 ， 应 该 制定 出 网 络 系统 的 安全 策略 ; 在 工程 设计 阶段 ， 应 该 按照 安全 
策略 的 要 求 制定 系统 的 安全 机 制 ; 在 系统 的 运行 中 ， 应 该 强制 执行 安全 机 制 所 要 求 的 各 
项 安全 措施 和 安全 管理 原则 ， 并 且 经 过 风险 分 析 和 安全 审计 来 检查 和 评估 ， 不 断 补充 、 
改进 和 完善 安全 措施 。 

安全 管理 制度 主要 包括 管理 制度 、 制 定 和 发 布 、 评 审 和 修订 。 不 同等 级 的 基本 要 求 
在 安全 管理 制度 方面 所 体现 的 不 同 在 三 个 方面 都 有 所 体现 。 一 级 安全 管理 制度 要 求 : 主 
要 明确 了 制定 日 常常 用 的 管理 制度 ， 并 对 管理 制度 的 制定 和 发 布 提出 基本 要 求 。 二 级 安 
全 管理 制度 要 求 : 在 控制 点 上 增加 了 评审 和 修订 , 管理 制度 增加 了 总 体 方针 和 安全 策略 ， 
以 及 对 各 类 重要 操作 建立 规程 的 要 求 ， 并 且 管 理 制 度 的 制定 和 发 布 要 求 组 织 论 证 。 三 级 
安全 管理 制度 要 求 : 在 二 级 要 求 的 基础 上 ， 要 求 机 构 形成 信息 安全 管理 制度 体系 ， 对 管 
理 制 度 的 制定 要 求 和 发 布 过 程 进一步 严格 和 规范 。 对 安全 制度 的 评审 和 修订 要 求 领导 小 
组 的 负责 。 四 级 安全 管理 制度 要 求 : 在 三 级 要 求 的 基础 上 ， 主 要 考虑 了 对 带 有 密级 的 管 
理 制 度 的 管理 和 管理 制度 的 日 常 维护 等 。 

表 4-11 表明 了 安全 管理 制度 在 控制 点 上 逐 级 变化 的 特点 。 
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表 4-1 安全 管理 制度 控制 点 的 逐 级 变化 


控制 点 
管理 制度 | 本 
制定 和 发 布 
评审 和 修订 
合计 
管理 制度 : 信息 安全 管理 制度 文件 通过 为 机 构 的 每 个 人 提供 基本 的 规则 、 指 南 、 定 
义 ， 从 而 在 机 构 中 建立 一 套 信息 安全 管理 制度 体系 ， 防 止 员工 的 不 安全 行为 引入 风险 。 
信息 安全 管理 制度 体系 分 为 三 层 结构 : 总 体 方针 、 具 体 管理 制度 和 各 类 操作 规程 。 信 息 
安全 方针 应 当 阐 明 管理 层 的 承诺 ， 提 出 机 构 管理 信息 安全 的 方法 ， 具 体 的 信息 安全 管理 
制度 是 在 信息 安全 方针 的 框架 内 ， 为 保证 安全 管理 活动 中 的 各 类 管理 内 容 的 有 效 执行 而 
制定 的 具体 的 信息 安全 实施 规则 ， 以 规范 安全 管理 活动 ， 约 束 人 员 的 行为 方式 ， 操 作 规 
程 是 为 进行 某 项 活动 所 规定 的 途径 或 方法 ， 是 有 效 实施 信息 安全 政策 、 安 全 目标 与 要 求 
的 具体 措施 。 这 三 层 体系 化 结构 完整 地 覆盖 了 机 构 进行 信息 安全 管理 所 需 的 各 类 文件 化 
指导 。 

制定 和 发 布 : 制定 安全 管理 制度 是 规范 各 种 保护 单位 信息 资源 的 安全 活动 的 重要 一 
步 , 制定 人 员 应 充分 了 解 机 构 的 业务 特征 (包括 业务 内 容 、 性 质 、 目 标 及 其 价值 )， 只 有 
这 样 才能 发 现 并 分 析 机 构 业 务 所 处 的 实际 运行 环境 ， 并 在 此 基础 上 提出 合理 的 、 与 机 构 
业务 目标 相 一 致 的 安全 保障 措施 ， 定 义 出 与 管理 相 结合 的 控制 方法 ， 从 而 制定 有 效 的 信 
息 安 全 政策 和 制度 。 机 构 高 级 管理 人 员 参 与 制定 过 程 ， 有 利于 : 

(1) 制定 的 信息 安全 政策 与 单位 的 业务 目标 一 致 。 

(2) 制定 的 安全 方针 政策 、 制 度 可 以 在 机 构 上 下 得 到 有 效 的 贯彻 。 

(3) 可 以 得 到 有 效 的 资源 保障 , 如 在 制定 安全 政策 时 必要 的 资金 与 人 力 资源 的 支持 ， 
及 跨 部 门 之 间 的 协调 问题 都 必须 由 高 层 管理 人 员 来 推动 。 

在 制定 安全 管理 制度 中 ， 各 种 文档 的 制定 非常 重要 ， 主 要 包括 如 下 文档 。 

。 网 络 建设 方案 文档 : 网 络 技术 体制 、 网 络 拓扑 结构 、 设 备 配置 、IP 地 址 和 域名 分 
配方 案 等 相关 技术 文档 。 
机 房管 理 制度 文档 : 包括 对 网 络 机 房 实 行 分 域 控制 ， 保 护 重点 网 络 设备 和 服务 器 
的 物理 安全 。 
各 类 人 员 职 责 分工 : 根据 职责 分 离 和 多 人 负责 的 原则 ， 划 分 部 门 和 人 员 职 责 ， 包 
括 对 领导 、 网 络 管理 员 、 安 全 保密 员 和 网 络 用 户 职责 进行 分 工 。 
。 安全 保密 规定 文档 : 制定 颁布 本 部 门 计算 机 网 络 安全 保密 管理 规定 。 
。 网 络 安 全 方案 : 网 络 安全 项 目 规划 、 分 步 实 施 方案 、 安 全 监控 中 心 建设 方案 和 安 
全 等 级 划分 等 整体 安全 策略 。 
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。 安全 策略 文档 : 建立 防火 墙 、 入 侵 检测 、 安 全 扫描 和 防 病毒 系统 等 安全 设备 的 安 
全 配置 和 升级 策略 以 及 策略 修改 登记 。 
。 口令 管理 制度 : 严格 网 络 设备 、 安 全 设备 、 应 用 系统 以 及 个 人 计算 机 的 口令 管理 
制度 。 
系统 操作 规程 : 对 不 同 应 用 系统 明确 操作 规程 ， 规 范 网 络 行为 。 
应 急 响应 方案 : 建立 网 络 数据 备份 策略 和 安全 应 急 方案 ， 确 保 网 络 的 应 急 响 应 。 
用 户 授权 管理 : 以 最 小 权限 原则 对 网 络 用 户 划 分 数据 库 等 应 用 系统 操作 权限 ， 并 
做 记录 。 
。 安全 防护 记录 : 记录 重大 网 络 安全 事件 ， 对 网 络 设备 和 安全 系统 进行 日 志 分 析 ， 
并 提出 修复 意见 ， 定 期 对 系统 运行 、 用 户 操作 等 进行 安全 评估 ， 提 交 网 络 安全 
报告 。 
。 评审 和 修订 : 安全 政策 和 制度 文件 制定 实施 后 , 机 构 要 定期 评审 安全 政策 和 制度 ， 
并 进行 持续 改进 ， 尤 其 当 发 生 重大 安全 事故 、 出 现 新 的 漏洞 以 及 技术 基础 结构 发 
生变 更 时 。 因 为 机 构 所 处 的 内 外 环境 是 不 断 变 化 的 ， 信 息 资 产 所 面临 的 风险 也 是 
一 个 变数 ， 机 构 中 人 的 思想 、 观 念 也 在 不 断 变化 。 在 这 个 不 断 变化 的 世界 中 ， 要 
想 保 证 本 系统 的 安全 性 ， 就 要 对 控制 措施 和 信息 安全 政策 与 制度 持续 改进 ， 使 之 
在 理论 上 、 标 准 上 及 方法 上 与 时 俱 进 。 
其 他 制度 文档 还 有 信息 发 布 审 批 、 设备 安装 维护 管理 规定 、 人 员 培 训 和 应 用 系统 等 ， 
以 及 全 面 建 立 计 算 机 网 络 各 类 文档 ， 堵 塞 安全 管理 漏洞 。 
在 安全 管理 中 ， 最 活跃 的 因素 是 人 ， 对 人 的 管理 包括 法 律 、 法 规 与 政策 的 约束 、 安 
全 指南 的 帮助 、 安 全 意识 的 提高 、 安 全 技能 的 培训 、 人 力 资源 管理 措施 以 及 企业 文化 的 
标 陶 ， 这 些 功能 的 实现 都 是 以 完备 的 安全 管理 政策 和 制度 为 前 提 。 信 息 安全 有 三 条 基本 
的 管理 原则 : 从 不 单独 工作 、 限 制 使 用 期 限 和 责任 分 散 。 从 不 单独 工作 原则 指 的 是 在 人 
员 条 件 许可 的 情况 下 ， 由 最 高 领导 人 指派 两 个 或 者 多 个 可 靠 而 且 能 够 胜任 工作 的 专业 人 
员 ， 共 同 参与 每 项 与 安全 相关 的 活动 ， 并 且 通 过 签字 、 记 录 和 注册 等 方式 证 明 。 限 制 使 
用 期 限 原 则 指 的 是 任何 人 都 不 能 在 一 个 与 安全 有 关 的 岗位 上 工作 太 长 时 间 ， 工 作 人 员 应 
该 经 常 轮换 工作 ， 这 种 轮换 依赖 于 全 体 人 员 的 诚实 度 。 责 任 分 散 原则 指 的 是 在 工作 人 员 
素质 和 数量 允许 的 情况 下 ， 不 集中 于 一 人 实施 全 部 与 安全 有 关 的 功能 ， 由 不 同 的 人 和 小 
组 来 执行 。 安 全 管理 制度 包括 信息 安全 工作 的 总 体 方针 、 策 略 、 规 范 各 种 安全 管理 活动 
的 管理 制度 以 及 管理 人 员 或 操作 人 员 日 常 操作 的 操作 规程 ， 安 全 风险 管理 、 安 全 策略 和 
安全 教育 构成 了 整个 信息 安全 管理 体系 。 


4.15.2 ”安全 风险 管理 


信息 系统 的 安全 风险 ， 是 指 由 于 系统 存在 的 脆弱 性 ， 人 为 或 自然 的 威胁 导致 安全 事 
件 发 生 所 造成 的 影响 。 信 息 安全 风险 评估 ， 则 是 指 依据 国家 有 关 信息 安全 技术 标准 ， 对 
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信息 系统 及 由 其 处 理 、 传 输 和 存储 的 信息 的 保密 性 、 完 整 性 和 可 用 性 等 安全 属性 进行 科 
学 评价 的 过 程 ， 它 要 评估 信息 系统 的 脆弱 性 、 信 息 系统 面临 的 威胁 以 及 脆弱 性 被 威胁 源 
利用 后 所 产生 的 实际 负面 影响 ， 并 根据 安全 事件 发 生 的 可 能 性 和 负面 影响 的 程度 来 识别 
信息 系统 的 安全 风险 。 信 息 安全 风险 评估 是 信息 安全 保障 体系 建立 过 程 中 重要 的 评价 方 
法 和 决策 机 制 。 没 有 准确 及 时 的 风险 评估 ， 将 使 得 各 个 机 构 无 法 对 其 信息 安全 的 状况 做 
出 准确 的 判断 。 

风险 评估 的 准备 过 程 是 组 织 进行 风险 评估 的 基础 ， 是 整个 风险 评估 过 程 有 效 性 的 保 
证 。 组 织 对 自身 信息 及 信息 系统 进行 风险 评估 的 结果 将 受到 业务 需求 及 战略 目标 、 文 化 、 
业务 流程 、 安 全 要 求 、 规 模 和 结构 的 影响 。 不 同 组 织 对 于 风险 评估 的 实施 过 程 可 能 存在 
不 同 的 要 求 ， 因 此 在 风险 评估 实施 前 ， 应 该 考虑 如 下 问题 。 

(1) 确定 风险 评估 的 范围 。 进 行 风险 评估 可 能 是 由 于 自身 商业 要 求 及 战略 目标 的 要 
求 ， 相 关 方 的 要 求 或 其 他 原因 ， 因 此 应 根据 上 述 原 因 确 定 风 险 评估 范围 。 范 围 可 能 是 组 
织 全 部 的 信息 和 信息 系统 ， 可 能 是 单独 的 信息 系统 ， 可 能 是 组 织 的 关键 业务 流程 ， 也 可 
能 是 客户 的 知识 产权 。 

(2) 确定 风险 评估 的 目标 。 组 织 应 明确 风险 评估 的 目标 ， 为 风险 评估 的 过 程 提供 导 
向 。 支 持 组 织 的 信息 、 系 统 、 应 用 软件 和 网 络 是 组 织 重要 的 资产 。 资 产 的 保密 性 、 完 整 
性 和 可 用 性 对 于 维持 竞争 优势 、 现 金 流动 、 获 利 能 力 、 法 规 要 求 和 组 织 形象 是 必要 的 。 
组 织 要 面 对 来 自 四 面 八方 日 益 增长 的 安全 威胁 ， 系 统 、 应 用 软件 和 网 络 可 能 是 严重 威胁 
的 目标 。 同 时 ， 由 于 组 织 的 信息 化 程度 不 断 提高 ， 对 基于 信息 系统 和 服务 技术 的 依赖 日 
益 增加 ， 一 个 组 织 则 可 能 出 现 更 多 的 脆弱 性 。 组 织 的 风险 评估 的 目标 基本 上 来 源 于 组 织 
业务 持续 发 展 的 需要 、 满 足 相关 方 的 要 求 、 满 足 法 律 法 规 的 要 求 等 方面 。 

(3) 建立 适当 的 组 织 结构 。 在 风险 评估 过 程 中 ， 组 织 应 建立 适当 的 组 织 结构 ， 以 支 
持 整个 过 程 的 推进 , 如 成 立 由 管理 层 、 相 关 业 务 骨干 和 IT 技术 人 员 等 组 成 的 风险 评估 小 
组 ,组织 结构 的 建立 应 考虑 其 结构 和 复杂 程度 ,以 保证 能 够 满足 风险 评估 的 范围 和 目标 。 

(4) 建立 系统 性 的 风险 评估 方法 。 风 险 评估 方法 应 通过 考虑 评估 的 范围 、 目 的 、 时 
间 、 效 果 、 组 织 文化 、 人 员 素 质 以 及 开展 程度 等 因素 来 确定 ， 使 之 能 够 与 环境 和 安全 要 
求 相 适应 。 

(5) 获得 最 高 管理 者 对 风险 评估 策划 的 批准 。 上 述 所 有 内 容 应 得 到 组 织 的 最 高 管理 
者 的 批准 ， 并 对 管理 层 和 员工 进行 传达 。 

根据 评估 实施 者 的 不 同 ， 将 风险 评估 形式 分 为 自 评估 和 他 评估 两 大 类 。 自 评估 是 由 
被 评估 信息 系统 的 拥有 者 依靠 自身 的 力量 ， 对 其 自身 的 信息 系统 进行 的 风险 评估 活动 。 
他 评估 则 是 被 评估 信息 系统 拥有 者 的 上 级 主管 机 关 或 业务 主管 机 关 发 起 的 ， 依 据 已 经 颁 
布 的 法 规 或 标准 进行 的 具有 强制 意味 的 检查 活动 ， 是 通过 行政 手段 加 强 信息 安全 的 重要 
措施 。 他 评估 也 是 经 常 提 及 的 检查 评估 ， 自 评估 和 他 评估 都 可 以 通过 信息 安全 风险 评估 
服务 机 构 进行 风险 评估 的 咨询 、 服 务 、 培 训 以 及 风险 评估 有 关 工 具 的 提供 。 
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风险 评估 的 基本 要 素 为 脆弱 性 、 资 产 、 威 胁 、 风 险 和 安全 措施 ， 与 这 些 要 素 相关 的 
属性 分 别 为 业务 战略 、 资 产 价 值 、 安 全 需求 、 安 全 事件 和 残余 风险 ， 也 是 风险 评估 要 素 
的 一 部 分 。 风 险 评估 的 工作 是 围绕 其 基本 要 素 展开 的 ， 在 对 这 些 要 素 的 评估 过 程 中 需要 
充分 考虑 业务 战略 、 资 产 价值 、 安 全 事件 和 残余 风险 等 与 这 些 基 本 要 素 相 关 的 各 类 因素 。 
这 些 要 素 之 间 存 在 着 以 下 关系 : 业务 战略 依赖 于 资产 去 完成 ; 资产 拥有 价值 ， 单 位 的 业 
务 战略 越 重要 ， 对 资产 的 依赖 度 越 高 ， 资 产 的 价值 则 就 越 大 ， 风 险 也 越 大 ， 并 可 能 演变 
成 安全 事件 ; 威胁 都 要 利用 脆弱 性 ， 脆 弱 性 越 大 则 风险 越 大 ;脆弱 性 使 资产 暴露 ， 是 未 
被 满足 的 安全 需求 ， 威 胁 要 通过 利用 脆弱 性 来 危害 资产 ， 从 而 形成 风险 ， 资 产 的 重要 性 
和 对 风险 的 意识 会 导出 安全 需求 ; 安全 需求 要 通过 安全 措施 来 得 以 满足 , 且 是 有 成 本 的 ; 
安全 措施 可 以 抗击 威胁 ， 降 低 风 险 ， 减 弱 安全 事件 的 影响 ， 风 险 不 可 能 也 没有 必要 降 为 
零 ， 在 实施 了 安全 措施 后 还 会 有 残留 下 来 的 风险 一 一 一 部 分 残余 风险 来 自 于 安全 措施 可 
能 不 当 或 无 效 ， 在 以 后 需要 继续 控制 这 部 分 风险 ， 另 一 部 分 残余 风险 则 是 在 综合 考虑 了 
安全 的 成 本 与 资产 价值 后 ， 有 意 未 去 控制 的 风险 ， 这 部 分 风险 是 可 以 被 接受 的 ;残余 风 
险 应 受到 密切 监视 ， 因 为 它 可 能 会 在 将 来 诱发 新 的 安全 事件 ， 如 图 4-135 所 示 。 


4-135 ”风险 评估 各 要 素 关系 图 
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在 一 般 的 评估 体系 中 ， 资 产 大 多 属于 不 同 的 信息 系统 ， 业 务 生产 系统 的 数量 还 可 能 
会 很 多 ， 需 要 将 信息 系统 及 其 中 的 信息 资产 进行 恰当 的 分 类 ， 才 能 进行 下 一 步 的 风险 评 
估 工 作 。 在 实际 项 目 中 ， 具 体 的 资产 分 类 方法 根据 具体 环境 由 评估 者 来 灵活 把 握 。 资 产 
赋值 是 对 资产 安全 价值 的 估价 , 而 不 是 以 资产 的 账面 价格 来 衡量 。 在 对 资产 进行 估价 时 ， 
不 仅 要 考虑 资产 的 成 本 价格 ， 还 要 考虑 资产 对 于 组 织 业务 的 安全 重要 性 ， 即 根据 资产 损 
失 所 引发 的 潜在 商务 影响 来 决定 。 为 确保 资产 估价 时 的 一 致 性 和 准确 性 ， 机 构 应 该 建立 
一 个 资产 价值 尺度 ， 明 确 如 何 对 资产 进行 赋值 。 资 产 估价 的 过 程 也 就 是 对 资产 保密 性 、 
完整 性 和 可 用 性 影响 分 析 的 过 程 。 影 响 就 是 由 人 为 或 突 发 性 引起 的 安全 事件 对 资产 破坏 
的 后 果 ， 这 一 后 果 可 能 毁灭 某 些 资产 ， 危 及 信息 系统 并 使 其 丧失 保密 性 、 完 整 性 和 可 用 
性 ， 最 终 还 会 导致 财政 损失 、 市 场 份额 或 公司 形象 的 损失 。 特 别 重要 的 是 ， 即 使 每 一 次 
影响 引起 的 损失 并 不 大 ， 但 长 期 积累 的 众多 意外 事件 的 影响 总 和 则 可 造成 严重 损失 。 一 
般 情况 下 ， 影 响 主要 从 以 下 几 方 面 来 考虑 。 

(1) 违反 了 有 关 法 律 或 (和 ) 规章 制度 。 

(2) 影响 了 业务 执行 。 

(3) 造成 了 信誉 、 声 誉 损失 。 

(4) 侵犯 了 个 人 隐私 。 

(5) 造成 了 人 身 伤害 。 

(6) 对 法 律 实施 造成 了 负面 影响 。 

(7) 侵犯 了 商业 机 密 。 

(8) 违反 了 社会 公共 准则 。 

(9) 造成 了 经 济 损失 。 

(10) 破坏 了 业务 活动 。 

(11) 危害 了 公共 安全 。 

资产 安全 属性 的 不 同 通常 也 意味 着 安全 控制 、 保 护 功能 需求 的 不 同 。 通 过 考察 保密 
性 、 完 整 性 和 可 用 性 三 种 不 同安 全 属性 ， 能 够 基本 反映 资产 的 价值 。 

安全 威胁 是 一 种 对 机 构 及 其 资产 构成 潜在 破坏 的 可 能 性 因素 或 者 事件 。 无 论 对 于 多 
么 安全 的 信息 系统 ， 安 全 威胁 是 一 个 客观 存在 的 事物 ， 它 是 风险 评估 的 重要 因素 之 一 。 
产生 安全 威胁 的 主要 因素 可 以 分 为 人 为 因素 和 环境 因素 。 人 为 因素 又 可 区 分 为 有 意 和 无 
意 两 种 。 环 境 因 素 包括 自然 界 不 可 抗 的 因素 和 其 他 物理 因素 。 威 胁 作 用 形式 可 以 是 对 信 
息 系 统 直接 或 间接 的 攻击 ， 例 如 非 授 权 的 泄露 、 算 改 和 删除 等 ， 在 保密 性 、 完 整 性 或 可 
用 性 等 方面 造成 损害 。 也 可 能 是 偶发 的 或 蓄意 的 事件 。 一 般 来 说 , 威胁 总 是 要 利用 网 络 、 
系统 、 应 用 或 数据 的 弱点 才 可 能 成 功 地 对 资产 造成 伤害 。 安 全 事件 及 其 后 果 是 分 析 威 胁 
的 重要 依据 。 但 是 ， 有 相当 一 部 分 威胁 发 生 时 ， 由 于 未 能 造成 后 果 ， 或 者 没有 意识 到 ， 
而 被 安全 管理 人 员 忽 略 。 这 将 导致 对 安全 威胁 的 认识 出 现 偏差 。 在 威胁 评估 过 程 中 ， 首 
先 就 要 对 组 织 需要 保护 的 每 一 项 关键 资产 进行 威胁 识别 。 在 威胁 识别 过 程 中 ， 应 根据 资 
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产 所 处 的 环境 条 件 和 资产 以 前 遭受 威胁 损害 的 情况 来 判断 。 一 项 资产 可 能 面临 着 多 个 威 
胁 ， 同 样 一 个 威胁 可 能 对 不 同 的 资产 造成 影响 。 

脆弱 性 评估 是 安全 风险 评估 中 重要 的 内 容 。 弱 点 包括 物理 环境 、 组 织 、 过 程 、 人 员 、 
管理 、 配 置 、 硬 件 、 软 件 和 信息 等 各 种 资产 的 脆弱 性 。 弱 点 是 资产 本 身 存在 的 ， 它 可 以 
被 威胁 利用 、 引 起 资产 或 商业 目标 的 损害 。 值 得 注意 的 是 , 弱点 虽然 是 资产 本 身 固有 的 ， 
但 它 本 身 不 会 造成 损失 ， 只 是 一 种 条 件 或 环境 ， 可 能 导致 被 威胁 利用 而 造成 资产 损失 。 
如 果 没有 相应 的 威胁 发 生 ， 单 纯 的 弱点 并 不 会 对 资产 造成 损害 。 那 些 没 有 安全 威胁 的 弱 
点 可 以 不 需要 实施 安全 保护 措施 ， 但 它们 必须 记录 下 来 以 确保 当 环境 、 条 件 有 所 变化 时 
能 随 之 加 以 改变 。 需 要 注意 的 是 ， 不 正确 的 、 起 不 到 应 有 作用 的 或 没有 正确 实施 的 安全 
保护 措施 本 身 就 可 能 是 一 个 安全 薄弱 环节 。 脆 弱 性 评估 将 针对 每 一 项 需要 保护 的 信息 资 
产 ， 找 出 每 一 种 威胁 所 能 利用 的 脆弱 性 ， 并 对 脆弱 性 的 严重 程度 进行 评估 ， 即 对 脆弱 性 
被 威胁 利用 的 可 能 性 进行 评估 ， 最 终 为 其 赋 相 对 等 级 值 。 在 进行 脆弱 性 评估 时 ， 提 供 的 
数据 应 该 来 自 于 这 些 资产 的 拥有 者 或 使 用 者 ， 来 自 于 相关 业务 领域 的 专家 以 及 软 硬 件 信 
息 系 统 方面 的 专业 人 员 。 脆 弱 性 评估 所 采用 的 方法 主要 有 问卷 调查 、 人 员 问 询 、 工 具 扫 
描 、 手 动 检查 、 文 档 审 查 和 渗透 测试 等 。 脆 弱 性 主要 从 技术 和 管理 两 个 方面 进行 评估 ， 
涉及 物理 层 、 网 络 层 、 系 统 层 、 应 用 层 和 管理 层 等 各 个 层面 的 安全 问题 。 其 中 ， 在 技术 
方面 主要 是 通过 远程 和 本 地 两 种 方式 进行 系统 扫描 \ 对 网 络 设备 和 主机 等 进行 人 工 抽查 ， 
以 保证 技术 脆弱 性 评估 的 全 面 性 和 有 效 性 ;管理 脆弱 性 评估 方面 可 以 按照 BS7799 等 标 
准 的 安全 管理 要 求 对 现 有 的 安全 管理 制度 及 其 执行 情况 进行 检查 ， 发 现 其 中 的 管理 漏洞 
和 不 足 。 

风险 计算 模型 包含 信息 资产 、 弱 点 /脆弱 性 和 威胁 等 关键 要 素 。 每 个 要 素 有 各 自 的 属 
性 ， 信 息 资产 的 属性 是 资产 价值 ， 弱 点 的 属性 是 弱点 被 威胁 利用 后 对 资产 带 来 的 影响 的 
严重 程度 ， 威 胁 的 属性 是 威胁 发 生 的 可 能 性 。 风 险 计算 的 过 程 如 下 。 

(1) 对 信息 资产 进行 识别 ， 并 对 资产 赋值 。 

(2) 对 威胁 进行 分 析 ， 并 对 威胁 发 生 的 可 能 性 赋值 。 

(3) 识别 信息 资产 的 脆弱 性 ， 并 对 弱点 的 严重 程度 赋值 。 

(4) 根据 威胁 和 脆弱 性 计算 安全 事件 发 生 的 可 能 性 。 

(5) 结合 信息 资产 的 重要 性 和 在 此 资产 上 发 生 安全 事件 的 可 能 性 计算 信息 资产 的 风 
险 值 。 


4.15.3 ”信息 安全 策略 
信息 安全 策略 是 信息 安全 管理 的 重要 组 成 部 分 ， 在 制定 信息 安全 策略 时 必须 遵循 三 
个 原则 : 严格 的 法 律 、 法 规 是 保障 信息 系统 安全 的 坚强 后 盾 ; 先进 的 网 络 安全 技术 与 安 


全 产品 是 信息 安全 的 根本 保证 ;先进 严格 的 安全 管理 是 确保 信息 安全 策略 实施 的 基础 。 
随 着 网 络 应 用 以 及 网 络 安全 技术 的 不 断 发 展 ， 安 全 策略 的 制订 和 实施 是 一 个 动态 的 延续 
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过 程 ， 可 以 请 有 经 验 的 安全 专家 或 购买 服务 商 的 专业 服务 。 网 络 安全 服务 建设 不 可 能 仅 
依靠 公司 提供 的 安全 服务 ， 不 是 所 有 的 网 络 都 需要 所 有 的 安全 技术 ， 何 况 有 些 安全 技术 
本 身 并 不 成 熟 ， 只 有 采取 适当 防护 、 重 点 突出 的 策略 ， 才 能 有 的 放 矢 ， 不 会 盲目 跟风 。 
不 同 的 网 络 有 不 同 的 安全 需求 ， 内 部 局 域 网 和 因特网 接 入 有 不 同 的 要 求 ， 涉 密 计 算 机 的 
管理 与 非 涉 密 计 算 机 的 管理 不 同 。 应 该 遵照 国家 和 本 部 门 有 关 信 息 安全 的 技术 标准 和 管 
理 规 范 ， 针 对 本 部 门 专项 应 用 ， 对 数据 管理 和 系统 流程 的 各 个 环节 进行 安全 评估 ， 确 定 
使 用 的 安全 技术 ， 设 定安 全 应 用 等 级 ， 明 确 人 员 职 责 ， 制 定安 全 分 步 实施 方案 ， 达 到 安 
全 和 应 用 的 科学 平衡 。 网 络 安全 最 大 的 威胁 不 是 来 自 外 部 ， 而 是 内 部 人 员 对 网 络 安全 知 
识 的 缺乏 。 人 是 信息 安全 目标 实现 的 主体 ， 网 络 安全 需要 全 体 人 员 共 同 努力 ， 避 免 出 现 
“ 木 桶 效应 ”。 信 息 安 全 策略 应 该 全 面 地 保护 信息 系统 整体 的 安全 ， 在 设计 时 主要 考虑 如 
下 几 个 方面 的 问题 。 

1. 物理 安全 策略 

物理 安全 是 指 在 物理 介质 层次 上 对 存储 和 传输 的 网 络 信息 进行 安全 保护 ， 是 网 络 信 
息 安 全 的 基本 保障 。 建 立 物理 安全 体系 结构 应 从 三 个 方面 考虑 : 一 是 自然 灾害 、 物 理 损 
坏 和 设备 故障 ;二 是 电磁 辐射 、 乘 机 而 入 、 痕 迹 泄露 等 ， 三 是 操作 失误 、 意 外 玻 漏 等 。 
物理 网 络 的 基础 设施 包括 物理 介质 的 选择 和 网 络 拓扑 结构 。 从 安全 的 角度 看 ， 应 根据 电 
缆 中 所 传输 信息 的 敏感 程度 来 为 不 同 网 段 选择 电缆 的 类 型 。 网 络 传输 中 最 常见 的 三 种 电 
缆 包 括 双 绞 线 、 同 轴 电 缆 和 光缆 。 光 费 在 高 带宽 和 长 距离 传输 的 情况 下 用 的 最 多 。 与 双 
绞 线 或 同 轴 电 费 不 同 的 是 ， 光 费 不 辐射 能 量 ， 能 够 有 效 地 阻止 窍 听 ， 而 且 比 双 绞 线 同 轴 
电缆 更 难 搭 线 窃听 。 物理 安全 控制 是 对 物理 基础 设施 、 物 理 设 备 安 全 和 物理 访问 的 控制 。 
对 于 现 有 的 网 络 ， 如 果 为 了 适应 已 经 改变 的 环境 而 正在 创建 或 修改 安全 策略 ， 就 有 必要 
更 改 物理 基础 设施 ， 改 变 某 些 关键 设备 的 物理 位 置 ， 使 安全 策略 更 容易 实施 。 如 果 已 经 
将 物理 安全 控制 与 安全 策略 相 结 合 ， 那 么 当 企业 需要 扩充 和 增加 新 的 站 点 时 ， 就 应 该 在 
创建 站 点 的 同时 考虑 网 络 的 物理 安全 控制 。 受 限 区 域 的 物理 访问 需要 主要 根据 分 析 或 物 
理 安全 调查 的 结果 来 决定 ， 严 格 限制 接近 机 柜 和 关键 网 络 基础 设施 设备 所 在 地 ， 除 非 经 
过 授权 或 因 工作 需要 ， 和 否则 将 禁止 接近 这 些 区 域 。 设 备 问题 可 能 会 造成 严重 危害 ， 当 采 
用 机 柜 放置 所 有 关键 的 网 络 基础 设施 设备 时 ， 必 须 尽 量 使 机 柜 处 于 一 个 独立 的 区 域 。 当 
打印 机 密 的 配置 文件 或 发 送 含 配置 内 容 的 传真 时 ， 为 了 避免 打印 机 或 传真 机 的 打印 输出 
落 入 他 人 手中 ， 需 要 将 敏感 打印 机 和 传真 机 安装 在 LAN 网 段 上 ， 且 该 局 域 网 应 位 于 访 
问 受到 严格 控制 的 室内 。 除 此 之 外 ， 还 必须 采取 安全 的 方法 来 销毁 打印 输出 和 文档 ， 如 
使 用 碎 纸 机 。 为 保护 关键 的 网 络 资源 ， 必 须 安装 和 实施 充分 的 环境 安全 保护 。 环 境 安全 
保护 包括 水 灾 的 预防 、 监 测 和 恢复 ; 水害 预 防 、 监 测 和 恢复 ;电源 保护 ;温度 控制 ; 湿 
度 控制 ; 保护 免 受 自然 灾害 的 侵袭 ， 包 括 地 震 、 闪 电 和 风暴 等 ; 保护 不 受过 量 磁场 干扰 ; 
制定 良好 的 清洁 制度 ， 减 少 侍 土 和 垃圾 。 

机 房 和 办 公 场 地 《放置 终端 计算 机 设备 ) 的 环境 条 件 应 该 能 够 满足 信息 系统 业务 需 


794 网 络 规划 设计 师 教 程 


求 和 安全 管理 需求 ， 具有 基本 的 防震 、 防 风 和 防 雨 等 能 力 ， 机房 场地 应 该 符合 选 址 要 求 ， 
避免 在 建筑 物 的 高 层 或 地 下 室 ， 以 及 用 水 设备 的 下 层 或 隔壁 ， 避 免 设 在 强 电 场 、 强 磁场 、 
强 震 动 源 、 强 噪声 源 、 重 度 环境 污染 、 易 发 生火 灾 、 水 灾 、 易 遭受 雷击 的 地 区 ， 不 存在 
因 机 房 和 办 公 场 地 环境 条 件 引发 的 安全 事件 或 安全 隐患 。 如 果 某 些 环境 条 件 不 能 满足 ， 
应 该 及 时 采取 补救 措施 。 机 房 和 办 公 场 地 的 设计 /验收 文档 应 该 有 机 房 和 办 公 场 地 所 在 建 
筑 能 够 具有 防震 、 防 风 和 防 雨 等 能 力 的 说 明和 机 房 场地 的 选 址 说 明 ， 与 机 房 和 办 公 场 地 
实际 情况 相符 合 。 为 了 业务 或 安全 管理 需要 ， 可 以 对 机 房 划 分 区 域 ， 在 机 房 重 要 区 域 前 
设置 交付 或 安装 等 过 渡 区 域 ， 对 不 同 区 域 设置 不 同 机 房 或 者 同一 机 房 的 不 同 区 域 之 间 设 
置 有 效 的 物理 隔离 装置 (如 隔 墙 等 )， 对 各 个 区 域 都 有 专门 的 管理 要 求 。 机 房 不 存在 电子 
门禁 系统 控制 之 外 的 出 入 口 ， 在 访问 机 房 和 办 公 场 地 时 ， 机 房 安全 管理 制度 应 该 有 关于 
机 房 出 入 方面 的 规定 ， 机 房 出 入 口 有 专人 值守 ， 机 房 值守 人 员 认 真 执 行 有 关机 房 出 入 的 
管理 制度 ， 对 进入 机 房 的 人 员 记 录 在 案 ， 进 入 机 房 要 有 审批 记录 和 身份 鉴别 措施 (如 戴 
有 可 见 的 身份 辨识 标识 )。 有 验收 文档 或 产品 安全 资质 的 电子 门禁 系统 运行 、 维护 记录 要 
定期 检查 ， 确 定 能 够 鉴别 和 记录 进入 的 人 员 身 份 。 

设备 和 介质 等 应 该 有 防止 丢失 的 保护 措施 ， 主 要 设备 放置 位 置 做 到 安全 可 控 ， 设备 
或 主要 部 件 进行 固定 和 标记 ， 通 信 线 缆 铺 设 在 隐蔽 处 ， 设 置 元 余 或 并 行 的 通信 线路 ， 对 
机 房 安装 的 防盗 报警 系统 和 监控 报警 系统 进行 定期 维护 检查 。 在 介质 管理 中 ， 介 质 应 该 
存放 在 介质 库 或 档案 室 中 ， 并 且 进 行 分 类 标识 ， 设 备 或 存储 介质 携带 出 工作 环境 要 有 审 
批 程序 、 内 容 加 密 和 专人 检查 等 安全 保护 的 措施 。 机 房 防盗 报警 设施 、 摄 像 、 传 感 等 监 
控 报 警 系统 以 及 运行 、 记 录 和 报警 记录 确保 正常 运行 。 有 关 设 备 或 存储 介质 携带 出 工作 
环境 要 有 审批 记录 ， 以 及 专人 对 内 容 加 密 进行 检查 的 记录 ; 设备 管理 制度 文档 、 通 信 线 
路 布线 文档 、 介 质 管理 制度 文档 、 介 质 清单 和 使 用 记录 、 机 房 防盗 报警 设施 的 安全 资质 
材料 、 安 装 测试 /验收 报告 等 文档 中 的 条 文 应 该 与 设备 放置 位 置 、 设 备 或 主要 部 件 保护 、 
通信 线 绕 铺设 等 实际 情况 一 致 。 

为 防止 雷击 事件 导致 重要 设备 被 破坏 需要 采取 一 些 防护 措施 ， 机 房 建筑 设置 通过 验 
收 或 国家 有 关 部 门 的 技术 检测 的 避雷 装置 ， 机 房 计算 机 系统 接地 设置 专用 地 线 ， 在 电源 
和 信号 线 增加 有 资质 的 避雷 装置 ， 以 避免 感应 雷击 。 机 房 建筑 避雷 装置 有 人 定期 进行 检 
查 和 维护 , 机 房 计算 机 系统 接地 (交流 工作 接地 、 安 全 保护 接地 ) 符合 GB50174 一 93《 电 
子 计算 机 机 房 设计 规范 》 的 要 求 。 机 房 建筑 防 雷 设计 /验收 文档 、 机 房 接地 设计 /验收 文 
档 、 地 线 连接 要 求 的 描述 与 实际 情况 一 致 。 机 房 要 设置 灭火 设备 和 自动 检测 火 情 、 自 动 
报警 、 自 动 灭火 的 自动 消防 系统 ， 有 专人 负责 维护 该 系统 的 运行 ， 制 订 有 关机 房 消防 的 
管理 制度 和 消防 预案 ， 且 定期 进行 消防 培训 ， 机 房 出 现 的 消防 安全 隐患 能 够 及 时 报告 并 
得 到 排除 。 自 动 消防 系统 的 摆 放 位 置 合理 ， 有 效 期 合格 ， 运 行 记录 、 报 警 记录 、 定 期 检 
查 和 维修 记录 一 切 正常 。 机 房 消 防 方 面 的 管理 制度 文档 、 机 房 防火 设计 /验收 文档 、 自 动 
消防 系统 的 设计 /验收 文档 、 建 筑 材料 、 区 域 隔离 防火 措施 的 验收 文档 或 消防 、 检 查验 收 
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文档 与 现 有 消防 配置 状况 一 致 。 机 房 可 以 采取 区 域 隔 离 防火 措施 ， 将 重要 设备 与 其 他 设 
备 隔离 开 。 机 房 建设 应 该 有 防水 防潮 措施 ， 如 果 机 房 内 有 上 下 水 管 安装 ， 避 免 穿 过 屋顶 
和 活动 地 板 ， 穿 过 墙壁 和 楼 板 的 水 管 要 采取 保护 措施 ， 如 设置 套 管 等 方法 。 在 湿度 较 高 
地 区 有 人 负责 机 房 防水 防潮 事宜 ， 配 备 除湿 装置 ， 防 水 防潮 处 理 记 录 和 除湿 装置 运行 记 
录 ， 与 机 房 湿 度 记录 情况 一 致 。 机 房 要 定期 检查 是 否 出 现 漏水 和 返 潮 事件 ， 如 果 出 现 机 
房 水 蒸气 结 露 和 地 下 积 水 的 转移 与 渗透 现象 需要 采取 防范 措施 。 机 房 的 建筑 防水 和 防潮 
设计 /验收 文档 与 机 房 防水 防潮 的 实际 情况 一 致 机 房 应 该 采用 必要 的 接地 等 防 静 电 措 施 
和 控制 机 房 湿度 的 措施 ， 控 制 在 GB2887 中 规定 的 范围 内 ， 在 静电 较 强 地 区 的 机 房 采 取 
有 效 的 防 静 电 措施 〈 如 防 静 电 地 板 、 防 静电 工作 台 以 及 静电 消除 剂 和 静电 消除 器 等 )。 机 
房 防 静电 设计 /验收 文档 中 描述 的 内 容 与 实际 情况 一 致 。 机 房 应 该 配备 恒温 恒 湿 系 
统 ， 保 证 温 湿度 能 够 满足 计算 机 设备 运行 的 要 求 ， 定 期 检查 和 维护 机 房 的 温 湿度 自动 调 
节 设 施 ， 在 机 房管 理 制度 中 规定 温 湿度 控制 的 要 求 ， 有 专门 的 人 负责 此 项 工作 。 温 湿度 
记录 、 运 行 记录 和 维护 记录 、 机 房 温 、 湿 度 满足 GB/2887-89《 计 算 站 场地 技术 条 件 》 的 
要 求 。 

计算 机 系统 供电 线路 与 其 他 供电 分 开 且 设置 稳 压 器 和 过 电压 防护 设备 及 短期 备用 
电源 设备 (如 UPS)， 供 电 时 间 满 足 系统 最 低 电力 供应 需求 ， 安 装 匈 余 或 并 行 的 电力 电 
缆 线路 (如 双 路 供电 方式 )， 建 立 备用 供电 系统 如 备用 发 电机 )。 计 算 机 系统 供电 线路 
上 的 稳 压 器 、 过 电压 防护 设备 和 短期 备用 电源 设备 等 需要 进行 定期 检查 和 维护 ， 能 够 控 
制 电源 稳 压 范围 满足 计算 机 系统 运行 正常 ， 计 算 机 系统 供电 与 其 他 供电 分 开 。 机 房 的 电 
力 供应 安全 设计 /验收 文档 中 标明 单独 为 计算 机 系统 供电 , 配备 稳 压 器 、 过 电压 防护 设备 、 
备用 电源 设备 以 及 宛 余 或 并 行 的 电力 电缆 线路 等 要 求 与 机 房 电力 供应 实际 情况 是 否 一 
致 。 有 防止 外 界 电 磁 干 扰 和 设备 寄生 耦合 干扰 的 措施 〈 包 括 设备 外 壳 有 良好 的 接地 ， 电 
源 线 和 通信 线 缆 隔 离 等 ) 并 且 对 处 理 秘密 级 信息 的 设备 采取 防止 电磁 泄露 的 措施 。 对 设 
备 外 壳 进行 良好 的 接地 , 电源 线 和 通信 线 线 隔离 , 处理 秘密 级 信息 的 设备 为 低 辐 射 设备 ， 
安装 满足 BMB4-2000《 电 磁 干 扰 器 技术 要 求 和 测试 方法 》 要 求 的 二 级 电磁 干扰 器 。 

2. 网 络 安全 策略 

为 保护 网 络 的 安全 ， 必 须 对 访问 系统 及 其 数据 的 人 进行 识别 ， 并 检查 其 合法 身份 ， 
对 进入 网 络 系统 进行 控制 。 访 问 控制 首先 要 把 用 户 和 数据 进行 分 类 ， 然 后 根据 需要 把 二 
者 匹配 起 来 , 把 数据 的 不 同 访问 权限 授予 用 户 , 只 有 被 授权 的 用 户 才能 访问 相应 的 数据 。 
在 大 型 网 络 中 ， 从 源 节点 到 目的 节点 可 能 有 多 条 线路 ， 有 些 线路 可 能 是 安全 的 ， 有 些 是 
不 安全 的 。 通 过 选择 路 由 控制 机 制 ， 可 使 信息 发 送 者 选择 特殊 路 由 ， 以 保证 数据 的 安全 。 
网 络 安全 中 的 访问 控制 分 为 两 类 : 入 系统 访问 控制 和 选择 性 访问 控制 。 入 系统 访问 控制 
为 系统 提供 了 第 一 层 访问 控制 ， 控 制 着 可 以 登录 到 服务 器 网 络 操作 系统 并 获取 系统 资源 
的 用 户 ， 通 过 用 户 名 识别 和 验证 、 用 户口 令 识 别 和 验证 以 及 用 户 账号 的 默认 限制 检查 进 
入 系统 。 选择 性 访问 控制 是 基于 主体 或 主体 所 在 组 的 身份 , 这 种 访问 控制 是 可 选择 性 的 ， 
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如 果 一 个 主体 具有 某 种 访问 权 ， 则 它 可 以 直接 或 间接 地 把 这 种 控制 权 传递 给 别 的 主体 。 
选择 性 访问 控制 被 内 置 于 许多 操作 系统 当中 ， 是 任何 安全 措施 的 重要 组 成 部 分 。 文 件 拥 
有 者 可 以 授予 一 个 用 户 或 一 组 用 户 访问 权 。 网 络 上 的 选择 性 访问 控制 应 对 用 户 的 访问 权 
限 进行 控制 : 某 人 可 以 访问 什么 程序 和 服务 ? 某 人 可 以 访问 什么 文件 ? 谁 可 以 创建 、 读 
或 删除 某 个 特定 的 文件 ? 谁 是 管理 员 或 “超级 用 户 ”? 谁 可 以 创建 、 删 除 和 管理 用 户 ? 
某 人 属于 什么 组 以 及 相关 的 权利 是 什么 ? 当 使 用 某 个 文件 或 目录 时 ， 用 户 有 哪些 权利 ? 
访问 控制 还 包括 对 网 络 服务 、 数 据 库 和 其 他 应 用 系统 的 控制 。 

3. 系统 安全 策略 

系统 安全 策略 可 以 分 为 两 大 类 来 考虑 ， 即 强制 安全 策略 和 自主 安全 策略 。 系 统 的 策 
略 实施 机 制 也 划分 为 两 部 分 ;强制 安全 策略 实施 机 制 和 自主 安全 策略 实施 机 制 ， 强 制 安 
全 策略 具有 更 好 的 普遍 适用 性 ， 由 系统 强制 提供 ， 可 涉及 保密 性 、 完 整 性 、 可 用 性 和 责 
任 可 查 性 等 。 自 主 安全 策略 将 反映 用 户 自主 的 安全 需求 ， 由 于 用 户 自主 安全 需求 的 多 样 
性 ， 为 尽 可 能 实施 灵活 的 自主 安全 策略 ， 系 统 应 为 用 户 提供 方便 的 自主 安全 策略 表达 机 
制 ， 如 安全 规则 的 说 明 工 具 。 用 户 说 明 的 与 自主 安全 策略 对 应 的 规则 集 有 时 非常 复杂 ， 
需要 有 专门 的 策略 检查 机 制 来 确保 规则 的 完备 性 、 正 确 性 和 一 致 性 。 这 些 自主 说 明 的 安 
全 规则 只 有 通过 检查 处 理 后 ， 才 能 形成 适合 于 自主 安全 策略 实施 机 制 使 用 的 系统 内 部 自 
主 安全 策略 (或 规则 集 )。 规 则 的 内 涵 及 内 部 表示 方式 的 不 同 ,又 对 自主 安全 策略 实施 机 
制 提出 了 不 同 的 要 求 ， 自 主 策略 实施 机 制 应 能 够 为 不 同类 型 的 规则 提供 执行 能 力 。 系 统 
安全 从 低 到 高 分 为 4 级 : D 级 是 最 低 的 安全 级 别 ， 拥 有 这 个 级 别 的 操作 系统 就 像 一 个 门 
户 大 开 的 房子 ， 任 何人 可 以 自由 进出 ， 是 完全 不 可 信 的 。C 级 有 两 个 安全 子 级 别 : Cl 和 
C2。C1l 级 被 称 为 选择 性 安全 保护 系统 ， 描 述 了 一 种 典型 的 用 在 UNIX 系统 上 的 安全 级 
别 。 这 种 级 别 的 系统 对 硬件 有 某 种 程度 的 保护 ， 用 户 拥有 注册 账号 和 口令 ， 系 统 通过 账 
号 和 口令 来 识别 用 户 是 否 合法 ， 并 决定 用 户 对 程序 和 信息 拥有 什么 样 的 访问 权 ， 但 硬件 
受到 损害 的 可 能 性 仍然 存在 。 除 了 C1 级 包含 的 特性 外 ，C2 级 别 应 具有 访问 控制 环境 权 
力 。 该 环境 具有 进一步 限制 用 户 执 行 某 些 命令 或 访问 某 些 文件 的 权限 ， 而 且 还 加 入 了 身 
份 认证 级 别 。B 级 中 有 三 个 级 别 ，B1 级 是 支持 多 级 安全 例如 秘密 和 绝密 ) 的 第 一 个 级 
别 ， 这 个 级 别 说 明 处 于 强制 性 访问 控制 之 下 的 对 象 ， 系 统 不 允许 文件 的 拥有 者 改变 其 许 
可 权限 。B2 级 要 求 计算 机 系统 中 所 有 的 对 象 都 要 加 上 标签 ,而且 给 设备 (磁盘 、 磁 带 和 
终端 ) 分 配 单个 或 多 个 安全 级 别 。 它 是 提供 较 高 安全 级 别 的 对 象 与 较 低 安全 级 别 的 对 象 
相互 通信 的 第 一 个 级 别 。B3 级 使 用 安装 硬件 的 方式 来 加 强 域 的 安全 ， 例 如 ， 内 存 管 理 硬 
件 用 于 保护 安全 域 免 遭 无 授权 访问 或 其 他 安全 域 对 象 的 修改 。A 级 是 当前 橙 皮 书 的 最 高 
级 别 , 它 包括 了 一 个 严格 的 设计 、 控 制 和 验证 过 程 , 该 级 别 包含 了 较 低级 别 的 所 有 特性 。 
黑客 对 系统 的 攻击 和 计算 机 病毒 是 系统 安全 的 两 大 威胁 ,对 于 网 络 操作 系统 的 安全 管理 ， 
系统 安装 完 后 ， 应 该 给 予 指定 的 系统 管理 员 与 Supervisor/Admin 等 同 的 管理 权限 。 获 取 
对 操作 系统 访问 权 的 用 户 ， 给 予 注 册 、 登 记 ， 授 予 对 系统 访问 的 账户 和 口令 。 定 期 做 好 
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操作 系统 和 应 用 程序 的 备份 ， 对 系统 在 运行 过 程 中 发 生 的 错误 作出 详细 的 记录 和 归档 ， 
认真 细致 地 分 析 每 天 的 日 志 ， 对 系统 进行 事后 审计 、 监 督 和 跟踪 ， 建 立 操作 系统 所 有 资 
料 的 使 用 管理 机 制 ， 及 时 做 好 系统 版 本 的 升级 、 打 补丁 、 防 病毒 和 系统 的 加 固 。 

4. 数据 加 密 策略 

访问 控制 只 是 控制 可 以 获准 进入 计算 机 信息 系统 的 对 象 ， 在 计算 机 的 应 用 中 产生 了 
大 量 需 要 存储 和 传输 的 数据 ， 此 时 ， 有 意 的 计算 机 犯罪 和 无 意 的 数据 破坏 成 为 了 最 大 的 
威胁 。 数据 保密 就 是 保护 网 络 中 各 系统 之 间 的 交换 数据 , 防止 因数 据 被 截获 而 造成 泄密 。 
数据 保密 主要 包括 连接 保密 (对 某 个 连接 上 的 所 有 用 户 数 据 提供 保密 )、 选 择 字段 保密 (对 
协议 数据 单元 的 一 部 分 选择 字段 进行 保密 ) 和 信息 流 保密 (对 可 能 从 观察 信息 流 就 能 推 
导出 的 信息 提供 保密 )。 数 据 完整 性 保证 接收 方 收 到 的 信息 与 发 送 方 发 送 的 信息 完全 一 
致 ， 它 包括 可 恢复 的 完整 性 、 无 恢复 的 完整 性 和 选择 字段 的 完整 性 ， 主 要 通过 数字 签名 
技术 来 实现 。 对 称 密码 和 公 钥 密码 是 当前 计算 机 信息 系统 中 的 两 类 基本 加 密 算法 。 信 息 
加 密 策略 的 制定 应 该 根据 网 络 系统 的 实际 情况 和 需求 来 定 ， 没 有 一 个 固定 的 模式 ， 一 般 
包括 信息 的 分 类 和 存储 、 信 息 的 传输 、 备 份 介质 存储 。 对 于 敏感 信息 ， 策 略 应 该 描述 加 
密 压 缩 的 软件 、 转 交 的 服务 器 名 称 、 存 储 目录 体系 和 归档 时 间 。PKI 是 一 种 具有 普遍 适 
用 性 的 网 络 安全 基础 设备 ， 是 一 套 硬件 、 软 件 系统 和 安全 策略 的 集合 ， 它 提供 了 一 种 安 
全 机 制 ， 使 用 户 在 不 知道 对 方 身份 和 分 布地 的 情况 下 ， 以 数字 证 书 为 基础 ， 通 过 一 系列 
的 信任 关系 来 实现 信息 的 真实 性 、 完 整 性 、 保 密 性 和 不 可 否认 性 。PKI 定义 了 密码 系统 
使 用 的 处 理 方法 和 原则 ， 建 立 了 一 个 组 织 信息 安全 方面 的 指导 方针 ， 包 含 在 实践 中 增强 
和 支持 安全 策略 的 一 些 操作 过 程 的 详细 文档 、 处 理 密 铀 和 有 价值 信息 的 方法 及 根据 风险 
级 别 定义 安全 控制 级 别 。 

5. 信息 安全 组 织 管理 策略 

信息 安全 组 织 管理 的 目标 和 任务 是 利用 管理 学 的 原理 构建 信息 安全 团队 ， 对 信息 安 
全 事件 作出 及 时 、 快 速 、 准 确 的 响应 ， 确 定 并 及 时 排除 突 发 事件 ， 使 其 服务 对 象 的 风险 
和 损失 降低 到 最 低 。 无 论 是 何 种 信息 安全 团队 ， 其 组 织 架构 基本 上 是 一 样 的 ， 主 要 由 决 
策 层 、 管 理 层 、 执 行 层 和 信息 管理 系统 4 个 部 分 组 成 。 决 策 层 负责 制定 信息 安全 团队 的 
工作 方针 、 政 策 以 及 相关 的 规章 制度 ， 对 团队 的 建立 负 有 决定 性 的 作用 ， 必 须 对 安全 事 
件 的 响应 作出 正确 的 判断 。 管 理 层 主 要 负责 团队 的 日 常 工 作 、 内 外 部 信息 资产 、 财 物 和 
工作 人 员 的 管理 。 执 行 层 负责 对 系统 运行 进行 日 常 的 维护 和 管理 ， 对 安全 事故 进行 响应 
支持 ， 对 相关 人 员 进 行 安全 技术 培训 。 信 息 管 理 系统 负责 决策 层 和 管理 层 之 间 、 管 理 层 
与 执行 层 之 间 、 执 行 层 与 用 户 层 、 决 策 层 与 执行 层 之 间 信 息 的 处 理 和 传递 。 关 于 人 员 录 
用 ， 应 指定 或 授权 专门 的 部 门 或 人 员 负 责 ， 严 格 规范 人 员 录 用 过 程 ， 对 被 录用 人 员 的 身 
份 、 背 景 、 专 业 资格 和 资质 等 进行 审查 ， 对 其 所 具有 的 技术 技能 进行 考核 ， 签 署 保 密 协 
议 ， 从 内 部 人 员 中 选拔 从 事 关键 岗位 的 人 员 ， 并 签署 岗位 安全 协议 。 关 于 人 员 离 岗 ， 应 
制定 有 关 管 理 规范 ， 严 格 规范 人 员 离 岗 过 程 ， 及 时 终止 离 岗 员 工 的 所 有 访问 权限 ， 取 回 
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各 种 身份 证 件 、 钥 是 、 征 章 等 以 及 机 构 提 供 的 软 硬 件 设备 ， 办 理 严 格 的 调 离 手续 ， 并 承 
诺 调 离 后 的 保密 义务 后 方 可 离开 。 关 于 人 员 考 核 ， 应 定期 对 各 个 岗位 的 人 员 进 行 安全 技 
能 及 安全 认 知 的 考核 ， 应 对 关键 岗位 的 人 员 进 行 全 面 、 严 格 的 安全 审查 和 技能 考核 ， 应 
建立 保密 制度 ， 并 定期 或 不 定期 地 对 保密 制度 执行 情况 进行 检查 或 考核 ， 应 对 考核 结果 
进行 记录 并 保存 。 

4.15.4 ”信息 安全 教育 


计算 机 安全 教育 是 计算 机 信息 安全 的 重要 组 成 部 分 ， 是 增强 人 们 安全 意识 和 安全 素 
质 的 有 效 方法 。 网 络 安全 是 一 门 新 兴 的 技术 ， 即 便 是 对 计算 机 专业 人 员 来 说 也 是 一 个 细 
新 的 领域 ， 如 果 技 术 人 员 对 安全 产品 只 有 一 知 半 解 ， 就 不 能 对 产品 正确 配置 ， 甚 至 根本 
配置 错误 ， 不 但 大 的 安全 投入 得 不 到 保护 ， 而 且 带 来 虚假 的 安全 。 对 于 安全 产品 不 能 买 
回来 一 装 了 事 ， 应 该 了 解 安全 工具 的 局 限 性 和 双 刃 性 以 及 错误 的 配置 带 来 的 问题 。 这 要 
求 技术 人 员 不 但 要 懂 网 络 、 代 安全， 还 要 了 解 应 用 需求 ， 了 解 网 络 协议 、 网 络 攻击 手段 ， 
认 清 并 处 理 网 络 病毒 、 密 码 攻 击 、 分 组 窃听 、IP 欺骗、 拒绝 服务 、 信 任 关系 利用 、 端 口 
攻击 和 未 授权 访问 等 多 样 化 的 攻击 手段 。 针对 技术 人 员 的 培训 包括 网 络 安全 理论 培训 、 
安全 意识 教育 、 岗 位 技能 培训 、 安 全 技术 培训 、 安 全 产品 培训 以 及 本 部 业务 培训 ， 对 定 
期 安全 教育 和 培训 进行 书面 规定 ， 针 对 不 同 岗位 制定 不 同 的 培训 计划 ， 对 信息 安全 基础 
知识 、 岗 位 操作 规程 等 进行 培训 。 对 安全 责任 和 惩戒 措施 进行 书面 规定 并 告知 相关 人 员 ， 
对 违反 违背 安全 策略 和 规定 的 人 员 进 行 惩戒 。 应 对 安全 教育 和 培训 的 情况 及 结果 进行 记 
录 并 归档 保存 。 人 始终 是 影响 计算 机 信息 系统 安全 的 最 大 因素 ， 对 人 的 计算 机 信息 系统 
法 律 法 规 的 宣传 教育 、 安 全 管理 知识 的 学 习 和 职业 道德 的 教育 是 计算 机 信息 系统 安全 教 
育 的 重点 ， 通 过 制定 、 实 施 信 息 安 全 管理 教育 ， 对 相关 的 人 员 进 行 安全 培训 ， 使 他 们 真 
正 掌握 安全 管理 各 方面 的 知识 ， 才 能 使 整套 的 安全 策略 和 安全 措施 得 到 充分 的 执行 和 
实施 。 
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标准 化 在 经 济 发 展 中 起 着 不 可 替代 的 重要 作用 。 仅 就 一 个 网 络 规划 设计 项 目 来 说 ， 
有 多 个 层次 、 不 同 分 工 的 人 员 相 互 配合 ， 在 项 目的 各 个 部 分 以 及 各 个 阶段 之 间 也 都 存在 
着 许多 联系 和 衔接 问题 。 如 何 把 这 些 错综复杂 的 关系 协调 好 ， 需 要 有 一 系列 统一 的 约束 
和 规定 。 这 些 约束 和 规定 不 断 完善 并 被 业界 所 普遍 认可 ， 这 就 是 标准 化 。 标 准 提供 统一 
的 行动 规范 和 衡量 准则 ， 使 得 各 种 工作 都 能 有 章 可 循 。 无 论 是 从 技术 层面 还 是 从 管理 层 
面 来 看 , 标准 化 在 整个 IT 业 乃 至 社会 发 展 中 起 着 举足轻重 的 作用 。 作为 一 名 网 络 规划 设 
计 师 ， 标 准 化 方面 的 知识 是 不 可 或 缺 的 。 

知识 产权 是 现代 社会 发 展 中 不 可 缺少 的 一 种 法 律 制度 。 知 识 产 权 的 智力 成 果 是 一 种 
无 形 财 产权 ， 是 不 同 于 普通 产品 的 知识 产品 〈 智 力 成 果 ) 。 只 有 实施 软件 产权 保护 ， 对 
软件 产品 的 著作 权 进 行 保护 ， 才 会 有 利于 软件 产业 的 发 展 。 为 维护 软件 企业 自身 合法 权 
益 ， 创 造 者 防止 自己 的 智力 创作 受到 侵害 或 者 被 复制 ， 并 像 其 他 劳动 者 一 样 享受 通过 自 
己 的 努力 而 得 到 的 成 果 ， 有 必要 建立 和 加 强 保护 软件 知识 产权 的 法 制 意识 ， 了 解 知识 产 
权 的 归属 关系 。 目 前 ， 涉 及 计算 机 技术 和 软件 技术 的 知识 产权 法 律 有 多 种 类 型 ， 如 《中 
华人 民 共 和 国 著作 权 法 》( 包 括 《计算 机 软件 保护 条 例 》) 、《 中 华人 民 共 和 国 专利 法 》、 
《中 华人 民 共 和 国 商 标 法 》、《 中 华人 民 共 和 国 反 不 正当 竞争 法 》 和 《中 华人 民 共 和 国 合 
同 法 》 等 。 它 们 根据 不 同 的 对 象 、 内 容 和 要 求 对 保护 的 客体 分 别 做 出 了 规定 。 它 们 之 间 
的 关系 并 不 是 相互 排斥 的 ， 而 是 可 选 的 、 并 行 的 、 交 叉 的 和 重 双 的。 遵守 现行 的 法 律 是 
对 人 们 的 基本 要 求 ， 这 是 必须 的 道德 修养 和 守法 行为 。 

通过 本 章 的 学 习 ， 要 求 掌握 如 下 内 容 。 

(1) 了 解 标准 及 标准 化 的 意义 ， 熟 悉 标 准 化 的 过 程 。 

(2) 了 解 标准 的 种 类 与 标准 体系 ， 熟 悉 标 准 的 分 类 与 编号 。 

(3) 了 解 国际 标准 与 国外 先进 标准 及 其 标准 化 组 织 ， 熟 悉 采 用 国际 标准 及 国外 先进 
标准 的 程度 。 

(4) 了 解 信息 技术 标准 化 ， 熟 悉 基 本 的 信息 管理 标准 化 和 网 络 工程 标准 化 。 

(5) 了 解 质量 管理 体系 标准 ISO 9000、 软 件 能 力 成 熟 度 模型 “CMM )。 

(6) 了 解 软件 知识 产权 的 基本 概念 和 特点 ， 建 立 知识 产权 意识 。 

(7) 了 解 计算 机 著作 权 侵权 行为 与 法 律 保护 ， 熟 悉 计算 机 著作 权 的 权利 及 归属 。 

(8) 了 解 反 不 正当 竞争 法 ， 熟 悉 计算 机 网 络 的 商业 秘密 。 
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5.1 标准 化 


5.1.1 标准 化 的 基本 概念 


1. 标准 、 标 准 化 的 定义 

标准 是 对 重复 性 事物 和 概念 所 做 的 统一 规定 。 它 以 科学 、 技 术 和 实践 经 验 的 综合 
果 为 基础 ， 经 有 关 方 面 协商 一 致 ， 由 一 个 公认 机 构 批准 ， 以 特定 形式 发 布 ， 作 为 共同 遵 
守 的 准则 和 依据 。 

标准 化 是 指 在 经 济 、 技 术 、 科 学 和 管理 等 社会 实践 中 ， 对 重复 性 事物 和 概念 通过 制 
定 、 发 布 和 实施 标准 达到 统一 ， 以 获得 最 佳 秩序 和 社会 效益 的 活动 。 

2. 标准 化 的 范围 和 对 象 

在 经 济 、 技 术 、 科 学 和 管理 等 社会 实践 中 , 同一 事物 和 概念 反复 或 重复 出 现 或 进行 ， 
如 同一 产品 的 反复 生产 ， 同 一 方法 的 反复 多 次 进行 ， 同 一 技术 的 多 次 使 用 ， 同 一 概念 的 
多 次 使 用 ， 同 一 管理 事项 的 重复 进行 等 ， 这 些 都 可 作为 标准 化 的 领域 和 对 象 。 

3. 标准 化 的 本 质 和 目的 

统一 是 标准 的 本 质 特 征 ， 任 何 标准 都 是 在 一 定 条 件 下 的 “统一 规定 ”。 标 准 化 的 目 
的 是 获得 最 佳 秩序 和 社会 效益 。 

4. 标准 化 的 主要 作用 

标准 化 为 科学 管理 莫 定 了 基础 ， 即 依据 生产 技术 的 发 展 规律 和 客观 经 济 规律 对 企业 
进行 管理 ， 而 各 种 科学 管理 制度 的 形式 都 以 标准 化 为 基础 。 

标准 化 可 以 促进 经 济 全 面 发 展 ， 提 高 经 济 效益 。 标 准 化 应 用 于 科学 研究 ， 可 以 避免 
在 研究 上 的 重复 劳动 ;应 用 于 产品 设计 ， 可 以 缩短 设计 周期 ; 应 用 于 生产 ， 可 使 生产 在 
科学 的 和 有 秩序 的 基础 上 进行 ， 应 用 于 管理 ， 可 促进 统一 、 协 调和 高 效率 等 。 

标准 化 是 科研 、 生 产 、 使 用 三 者 之 间 的 桥梁 。 一 项 新 技术 或 科研 成 果 ， 一 旦 纳入 相 
应 标准 ， 就 能 迅速 得 到 推广 和 应 用 ， 从 而 促进 技术 进步 。 

标准 化 为 组 织 现代 化 生产 创造 了 前 提 条 件 ， 通 过 制定 和 使 用 标准 来 保证 各 生产 部 门 
的 活动 在 技术 上 保持 高 度 的 统一 和 协调 ， 以 使 生产 正常 进行 。 

标准 化 可 以 促进 对 自然 资源 的 合理 利用 ， 保 持 生 态 平衡 ， 维 护 人 类 社会 当前 和 长 远 
的 利益 ;合理 发 展 产品 品种 ， 提 高 企业 应 变 能 力 ， 以 更 好 地 满足 社会 需求 ; 保证 产品 质 
量 ， 维 护 消费 者 利益 ， 在 社会 生产 组 成 部 分 之 间 进 行 协调 ， 确 立 共同 遵循 的 准则 ， 建 立 
稳定 的 秩序 ， 促 进 国际 技术 交流 和 贸易 发 展 ， 提 高 产品 在 国际 市 场 上 的 竞争 能 力 ; 保障 
身体 健康 和 生命 安全 。 环 保 标准 、 卫 生 标准 和 安全 标准 制定 、 发 布 后 ， 用 法 律 形式 强制 
执行 ， 对 保障 人 民 的 身体 健康 和 生命 财产 安全 具有 重大 作用 。 
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5.1.2 ”标准 化 的 基本 过 程 


标准 是 标准 化 活动 的 产物 ， 其 目的 和 作用 都 是 要 通过 制定 和 贯彻 具体 的 标准 来 体现 
的 。 标 准 化 是 一 个 可 分 为 几 个子 过 程 的 活动 过 程 ， 一 般 包括 标准 产生 〈 调 查 、 研 究 、 形 
成 草案 、 批 准 发 布 ) 子 过 程 、 标 准 实施 〈 宣 传 、 普 及 、 监 督 、 咨 询 ) 子 过 程 和 标准 更 新 
复审、 废止 或 修订 ) 子 过 程 等 。 


5.1.3 ”标准 的 分 类 


标准 化 工作 是 一 项 复杂 的 系统 工程 ， 标 准 为 适应 不 同 的 要 求 从 而 构成 一 个 庞大 而 复 
杂 的 系统 。 为 便于 研究 和 应 用 的 目的 ， 可 以 从 不 同 的 角度 和 属性 将 标准 进行 分 类 。 

1. 根据 适用 范围 分 类 

(1) 国际 标准 : 由 国际 标准 化 团体 制定 、 公 布 和 通过 的 标准 。 通 常 ， 国 际 标准 是 指 
ISO 和 正 C 以 及 ISO 所 出 版 的 《国际 标准 题目 关键 词 索引 (KWIC Index) 》 中 收录 的 其 
他 国际 组 织 制 定 、 发 布 的 标准 等 。 国 际 标准 在 世界 范围 内 统一 使 用 ， 没 有 强制 的 含义 ， 
各 国 可 以 自愿 采用 。 

(2) 国家 标准 : 由 一 个 国家 的 政府 或 国家 级 的 机 构 制 定 或 批准 ， 适 用 于 全 国 范围 的 
标准 ， 如 中 国 国 家 标准 “GB) 、 美 国 国家 标准 (ANSI) 、 德 国 国家 标准 CDIN) 、 英 
国 国家 标准 (BS) 和 日 本 国 工业 标准 (JIS) 等 。 

(3) 区 域 标准 : 区 域 标准 又 称 地 区 标准 ， 泛 指 世 界 上 按 地 理 、 经 济 或 政治 划分 的 某 
一 区 域 标准 化 团体 所 通过 的 标准 。 

(4) 行业 标准 : 由 行业 机 构 、 学 术 团 体 或 国防 机 构 制 定 ， 并 适用 于 某 个 业务 领域 的 
标准 , 如 美国 电气 和 电子 工程 师 学 会 标准 (IEEE)、 中 华人 民 共 和 国 国家 军用 标准 (GJB)、 
美国 军用 标准 (MIL-S) 和 美国 国防 部 标准 (DOD-STD) 等 。 

(5) 地 方 标准 : 由 一 个 国家 的 地 方 一 级 行政 机 构 〈 省 、 州 或 加 盟 共 和 国 ) 制定 的 标 
准 ， 称 为 地 方 标准 。 它 一 般 由 地 方 所 属 的 各 企业 与 单位 执行 。 

(6) 企业 标准 : 由 企业 或 公司 批准 、 发 布 的 标准 ， 某 些 产品 标准 由 其 上 级 主管 机 构 
批准 、 发 布 。 例 如 ， 美 国 IBM 公司 通用 产品 部 制定 的 “程序 设计 开发 指南 ”， 仅 供 该 公 
司 内 部 使 用 。 企 业 为 达到 或 超过 上 级 标准 ， 而 对 产品 质量 指标 制定 高 于 现行 上 级 标准 的 
用 于 内 部 控制 的 企业 标准 ， 目 的 在 于 促进 产品 质量 的 提高 。 

(7) 项 目 规范 : 由 某 一 科研 生产 项 目 组 织 制定 ， 且 为 该 项 任务 专用 的 软件 工程 规范 ， 
如 计算 机 集成 制造 系统 CIMS》 的 软件 工程 规范 。 

我 国标 准 分 为 国家 标准 、 行 业 标准 、 地 方 标准 和 企业 标准 4 类 。 

2. 根据 性 质 分 类 

根据 标准 的 性 质 有 所 不 同 ， 可 分 为 技术 标准 、 管 理 标准 和 工作 标准 。 


802 网 络 规划 设计 师 教 程 


3. 根据 对 象 和 作用 分 类 

根据 标准 的 对 象 和 作用 ， 可 分 为 基础 标准 、 产 品 标准 、 方 法 标准 、 安 全 标准 、 卫 生 
标准 、 环 境 保护 标准 和 服务 标准 等 。 

4. 根据 法 律 约束 性 分 类 

根据 标准 的 法 律 约束 性 ， 可 分 为 强制 性 标准 和 推荐 性 标准 。 


5.1.4 ”标准 的 编号 


1. 国际 、 国 外 标准 代号 及 编号 
国际 及 国外 标准 代号 形式 各 异 ， 但 基本 结构 为 : 
标准 代号 + 专业 类 号 + 顺序 号 + 年 代号 

其 中 , 标准 代号 大 多 采用 缩写 字母 , 如 IEC 代表 国际 电工 委员 会 (Intemational Electro- 
technical Commission) 、API 代表 美国 石油 协会 (American Petroleum Institute) 、ASTM 
代表 美国 材料 与 试验 协会 (American Society for Testing and Materials) 等 ， 专 业 类 号 因 
其 所 采用 的 分 类 方法 不 同 而 各 异 ， 有 字母 、 数 字 、 字 母 数字 混合 式 三 种 形式 ; 标准 号 中 
的 顺序 号 及 年 代号 的 形式 与 我 国 基本 相同 。 例 如 , 国际 标准 ISO 代号 及 编号 格式 为 “ISO+ 
标准 号 + [- + 分 标准 号 ]+ : + 发 布 年 号 〈 方 括号 中 的 内 容 可 有 可 无 ) ”， 如 ISO 8402: 
1987 和 ISO9000-1: 1994 分 别 是 ISO 标准 的 编号 。 

2. 我 国标 准 代号 及 编号 

我 国标 准 的 编号 由 标准 代号 、 标 准 发 布 顺序 号 和 标准 发 布 年 号 构成 。 

(1) 国家 标准 的 代号 由 大 写 汉 语 拼 音字 母 构 成 ， 强 制 性 国家 标准 的 代号 为 GB， 推 
荐 性 国家 标准 的 代号 为 GB/T。 

(2) 行业 标准 代号 由 大 写 汉语 拼音 字母 组 成 , 再 加 上 和 斜 线 /和 T 工 组 成 推荐 性 行业 标准 
(如 XX/TT) 。 行业 标准 代号 由 国务 院 各 有 关 行 政 主管 部 门 提出 其 所 管理 的 行业 标准 范围 
的 申请 报告 ， 国 务 院 标准 化 行政 主管 部 门 审查 确定 并 正式 公布 该 行业 标准 代号 。 己 正式 
公布 的 行业 代号 有 QJ (航天 ) 、SJ (电子 ) 、 卫 〈 机 械 ) 和 了 及 〈 人 金融 系统 ) 等 。 

(3) 地 方 标准 代号 由 大 写 汉语 拼音 字母 DB 加 上 省 、 自 治 区 、 直 辖 市 行政 区 域 代码 
的 前 两 位 数字 《如 北京 市 为 11、 天 津 市 为 12、 上 海 市 为 31 等 ) ， 再 加 上 和 斜 线 /和 了 组 成 
推荐 性 地 方 标准 (DBX X 代 ) ， 不 加 斜 线 /和 T 工 的 为 强制 性 地 方 标准 ， 如 DBX xX。 

(4) 企业 标准 的 代号 由 大 写 汉语 拼音 字母 Q 加 斜 线 再 加 企业 代号 组 成 (Q/X X Xx )， 
企业 代号 可 用 大 写 拼音 字母 或 阿拉 伯 数 字 或 两 者 兼用 所 组 成 。 


5.1.5 ”国际 标准 及 国外 先进 标准 
1. 国际 标准 


国际 标准 是 指 国际 标准 化 组 织 、 国 际 电 工 委员 会 (IEC) 制定 的 标准 ， 以 及 ISO 为 
促进 《 关 贸 总 协定 一 一 贸易 技术 壁垒 协议 》 即 标准 守则 的 贯彻 实施 所 出 版 的 《国际 标准 
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题目 关键 词 索引 (KWIC Index) 》 中 收录 的 其 他 国际 组 织 制 定 的 标准 。1989 年 ，KWIC 
索引 (第 2 版 ) 收录 了 ISO 与 IEC 以 及 其 他 27 个 国际 组 织 的 标准 。 

2. 国外 先进 标准 

国外 先进 标准 是 指 未 经 国际 标准 化 组 织 确认 并 公布 的 其 他 国际 组 织 的 标准 ， 如 国际 
上 有 权威 的 区 域 性 标准 、 世 界 上 主要 经 济 发 达 国 家 的 国家 标准 和 通行 的 团体 标准 ， 包 括 
知名 跨国 企业 标准 在 内 的 其 他 国际 上 公认 的 先进 标准 。 

(1) 国际 上 有 权威 的 区 域 性 标准 ， 如 欧洲 标准 化 委员 会 《CEN) 、 欧 洲 电 工 标准 化 
委员 会 (CENELEC) 、 欧 洲 广播 联盟 (EBU) 、 亚 洲 大 洋 洲 开放 系统 互联 研讨 会 (AOW) 
和 亚洲 电子 数据 交换 理事 会 (ASEB) 等 制定 的 标准 。 

(2) 世界 经 济 技术 发 达 国 家 的 国家 标准 ， 如 美国 国家 标准 、 德 国 国家 标准 、 英 国 国 
家 标准 、 日 本 国 工 业 标准 、 瑞 典 国家 标准 、 法 国 国家 标准 (NF) 、 瑞 士 国家 标准 (SNV) 、 
意大利 国家 标准 CUNI) 和 俄罗斯 国家 标准 (TOCTP) 等 。 

(3) 国际 公认 的 行业 性 团体 标准 ， 如 美国 材料 与 实验 协会 标准 (ASTM) 、 美 国 石 
油 学 会 标准 、 美 国 军用 标准 (MIL) 、 美 国保 险 商 验 所 安全 标准 (UL) 、 美 国电 气 制造 
商 协 会 标准 (NEMA) 、 美 国电 影 电 视 工 程 师 协会 标准 (SMPTE) 、 美 国 机 械 工 程 师 协 
会 标准 (ASME) 和 英国 劳 氏 船 级 社 船 舶 人 级 规范 (LR) 等 。 

(4) 国际 公认 的 先进 企业 标准 ， 如 美国 IBM 公司 、 美 国 HP 公司 、 芬 兰 诺基亚 公司 
和 瑞士 钟表 公司 等 企业 标准 。 


5.1.6 采用 国际 标准 和 国外 先进 标准 


采用 国际 标准 和 国外 先进 标准 是 指 把 国际 标准 和 国外 先进 标准 的 内 容 ， 通 过 分 析 研 
究 ， 不 同 程度 地 纳入 我 国 的 国家 标准 、 行 业 标准 、 地 方 标准 和 企业 标准 ， 并 且 按 照 规定 
的 程序 进行 起 草 、 审 批 、 发 布 、 贯 彻 执行 。 采 用 国际 标准 或 国外 先进 标准 的 程度 分 为 等 
同 采 用 、 等 效 采 用 和 非 等 效 采 用 。 

(1) 等 同 采用 国际 标准 是 指 在 制定 国家 、 专 业 或 企业 等 标准 时 ， 把 国际 标准 采纳 到 
所 制定 的 标准 中 ,使 得 标准 在 技术 上 、 编 写 上 与 国家 标准 相同 , 或 编写 上 有 编辑 性 修改 。 

(2) 等 效 采 用 是 指 制定 的 标准 与 相应 的 国际 标准 在 技术 上 只 有 小 的 差异 ， 在 编写 方 
法 上 可 以 不 完全 相同 。 小 的 技术 差异 是 指 非 实质 性 的 差异 ， 即 这 种 差异 可 以 被 国际 上 认 
可 并 接受 ， 如 增加 些 事例 或 解释 说 明 资 料 等 。 

(3) 非 等 效 采 用 是 指 制定 的 标准 与 国际 标准 在 技术 内 容 上 有 重大 差异 〈 制 定 的 标准 
中 有 国际 标准 不 能 接受 的 条 款 ， 或 者 在 国际 标准 中 有 所 制定 的 标准 不 能 接受 的 条 款 ) ， 
但 性 能 和 质量 水 平 与 国际 标准 相当 ， 在 通用 、 互 换 、 安 全 和 卫生 等 方面 与 国际 标准 协调 
一 致 。 在 技术 上 有 重大 差异 的 情况 下 ， 虽 然 标准 制定 时 是 以 国际 标准 为 基础 的 ， 并 在 很 
大 程度 上 与 国际 标准 相 适应 ， 但 不 能 使 用 “等 效 ” 这 个 术语 。 

采用 程度 符号 用 缩写 字母 表示 ， 等 同 采用 idt 或 IDT 表示 ， 等 效 采用 eqv 或 EQV， 
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非 等 效 采 用 neq 或 NEQ 表示 。 
5.1.7 标准 化 组 织 


1. 国际 标准 化 组 织 

ISO 和 IEC 是 世界 上 两 个 最 大 、 最 具有 权威 性 的 国际 标准 化 组 织 。 目 前 ， 由 ISO 确 
认 并 公布 的 国际 标准 化 组 织 还 有 国际 计量 局 (BIPM) 、 联 合 国教 科 文 组 织 (UNESCO) 、 
世界 卫生 组 织 (WHO) 、 世 界 知识 产权 组 织 C(WIPO) 、 国 际 信息 与 文献 联合 会 (FID) 、 
国际 法 制 计 量 组织 COIML ) 等 。 

2. 区 域 标准 化 组 织 

区 域 标准 化 组 织 是 指 同 处 一 个 地 区 的 某 些 国家 组 成 的 标准 化 组 织 。 区 域 是 指 世界 上 
按 地 理 、 经 济 或 民族 利益 划分 的 区 域 。 参 加 组 织 的 机 构 有 的 是 政府 性 的 ， 有 的 是 非 政 府 
性 的 ， 是 为 发 展 同一 地 区 或 毗邻 国家 间 的 经 济 及 贸易 ， 维 护 该 地 区 国家 的 利益 ， 协 调 本 
地 区 各 国标 准 和 技术 规范 而 建立 的 标准 化 机 构 ， 如 欧洲 标准 化 委员 会 、 欧 洲 电工 标准 化 
委员 会 和 亚洲 标准 咨询 委员 会 (ASAC) 等 。 其 主要 职能 是 制定 、 发 布 和 协调 该 地 区 的 
标准 。 

3. 行业 标准 化 组 织 

行业 标准 化 组 织 是 指 制定 和 公布 适应 于 某 个 业务 领域 标准 的 专业 标准 化 团体 ， 以 及 
在 其 业务 领域 开展 标准 化 工作 的 行业 机 构 、 学 术 团 体 或 国防 机 构 ， 如 美国 电气 电子 工程 
师 学 会 、 美 国 国防 部 (DOD) 以 及 我 国 国防 科学 技术 工业 委员 会 (GJB) 等 。 

4. 国家 标准 化 组 织 

国家 标准 化 组 织 是 指 在 国家 范围 内 建立 的 标准 化 机 构 以 及 政府 确认 〈 或 承认 ) 的 标 
准 化 团体 ， 或 者 接受 政府 标准 化 管理 机 构 指导 并 具有 权威 性 的 民间 标准 化 团体 ， 如 美国 
国家 标准 学 会 (ANSI) 、 英 国标 准 学 会 (BSID) 、 德 国标 准 化 学 会 (DIN) 、 法 国标 准 
化 协会 (AFNOR) 和 日 本 工业 标准 调查 会 (JIS) 等 。 


5.1.8 ”信息 技术 标准 化 


信息 技术 标准 化 是 围绕 信息 技术 的 开发 、 信 息 产品 的 研制 和 信息 系统 建设 、 运 行 与 
管理 而 开展 的 一 系列 标准 化 工作 。 其 中 主要 包括 信息 技术 术语 、 信 息 表示 、 汉 字 信 息 处 
理 技术 、 媒 体 、 软 件 工程 、 数 据 库 、 网 络 通信 、 电 子 数 据 交 换 、 电 子 卡 、 管 理 信息 系统 
和 计算 机 辅助 技术 等 方面 的 标准 化 。 

1. 信息 编码 标准 化 

编码 是 一 种 信息 表现 形式 。 在 一 定 条 件 下 ， 它 对 事物 或 概念 的 描述 比 自然 语言 要 直 
接 、 简 洁 、 准 确 和 有 力 。 要 保证 信息 编码 的 一 致 性 ， 就 要 对 编码 对 象 的 确定 、 对 象 特性 
的 选择 、 编 码 方法 和 代码 设计 进行 标准 化 。 对 信息 进行 编码 实际 上 是 对 文字 、 音 频 、 图 
形 和 图 像 等 信息 进行 处 理 ， 使 之 量化 ， 从 而 便于 利用 各 种 通信 设备 进行 信息 传递 和 利用 
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计算 机 进行 信息 处 理 。 为 了 统一 编码 系统 ， 人 们 制定 了 各 种 标准 代码 ， 如 国际 上 较 通 用 
的 ASCII 码 等 。 

2. 条 码 标准 化 

条 码 是 一 种 特殊 的 代码 ， 即 一 组 规则 排列 的 条 、 空 及 其 对 应 字符 组 成 的 标记 ， 用 以 
表示 一 定 的 信息 。 条 码 中 的 条 、 空 分 别 由 两 种 不 同 深浅 的 颜色 (通常 为 黑 、 白 色 ) 表示 ， 
并 满足 一 定 的 光学 对 比 度 要 求 ， 其 目的 是 便于 光电 扫描 设备 识 读 后 将 数据 输入 计算 机 。 
条 码 中 的 字符 供 人 们 直接 识 读 ， 或 通过 键盘 向 计算 机 输入 数据 。 目 前 国际 上 广泛 使 用 的 
条 码 是 国际 物品 编码 协会 的 标准 化 条 码 EAN。 我 国 国家 标准 《GB 904-91 通用 商品 条 码 》 
中 的 通用 商品 条 码 的 结构 与 EAN 条 码 结构 相同 ， 由 13 位 数字 码 以 及 对 应 的 条 码 组 成 ， 
即 由 前 缀 码 (3 位 ) 、 制 造 厂 商 代 码 (4 位) 、 商 品 代 码 (5 位 ) 和 检验 码 〈1 位 ) 组 成 ， 
3 位 前 级 码 是 标识 国家 或 地 区 的 代码 ， 我 国 的 国家 代码 为 690。 

3. 汉字 编码 标准 化 

汉字 编码 是 将 每 一 个 汉字 按 一 定 的 规律 用 若干 个 字母 、 数 字 、 符 号 表示 出 来 。 汉 字 
编码 的 方法 很 多 ， 主 要 有 数字 编码 、 拼 音 编 码 和 字形 编码 。 我 国 在 汉字 编码 标准 化 方面 
取得 的 突出 成 就 就 是 信息 交换 用 汉字 编码 字符 集 国 家 标准 的 制定 。 该 字符 集 共 有 6 个 。 
其 中 , GB 2312-80 信息 交换 用 汉字 编码 字符 集 是 基本 集 , 收入 常用 基本 汉字 和 字符 7445 
个 ; GB 7589-87 和 GB 7590 一 87 分 别 是 第 二 辅助 集 和 第 四 辅助 集 ， 各 收入 现代 规范 汉字 
7426 个 ; GB/T 12345-90 是 辅助 集 ， 它 与 第 三 辅助 集 和 第 五 辅助 集 分 别 是 与 基本 集 、 第 
二 辅助 集 和 第 四 辅助 集 相 对 应 的 繁体 字 的 汉字 字符 集 。 除 汉字 编码 标准 化 外 ， 汉 字 信 息 
处 理 标准 化 的 内 容 还 包括 汉字 键盘 输入 的 标准 化 ;汉字 文字 识别 输入 和 语音 识别 输入 的 
标准 化 ;汉字 输出 字体 和 质量 的 标准 化 ; 汉字 属性 和 汉语 词语 的 标准 化 等 。 

4. 软件 工程 标准 化 

随 着 软件 工程 学 科 的 发 展 ， 人 们 对 计算 机 软件 的 认识 逐渐 深入 。 软 件 工作 的 范围 从 
只 是 使 用 程序 设计 语言 编写 程序 扩展 到 整个 软件 生存 期 。 软 件 工程 的 目的 是 改善 软件 开 
发 的 组 织 ， 降 低 开 发 成 本 ， 缩 短 开发 时 间 ， 提 高 工作 效率 ， 提 高 软件 质量 。 它 在 内 容 上 
包括 软件 开发 的 软件 概念 形成 、 需 求 分 析 、 计 划 组 织 、 系 统 分 析 与 设计 、 结 构 程序 设计 、 
软件 调试 、 软 件 测试 和 验收 、 软 件 安 装 和 检验 、 软 件 运 行 和 维护 以 及 软件 运行 的 终止 。 
同时 还 有 许多 技术 管理 工作 ， 如 过 程 管理 、 产 品 管理 、 资 源 管理 以 及 确认 与 验证 工作 ， 
如 评审 与 审计 、 产 品 分 析 等 。 软 件 工程 最 显著 的 特点 就 是 把 个 别 的 、 自 发 的 、 分 散 的 、 
手工 的 软件 开发 变 成 一 种 社会 化 的 软件 生产 方式 。 软 件 生产 的 社会 化 必然 要 求 软件 工程 
实行 标准 化 。 软 件 工程 标准 的 类 型 也 是 多 方面 的 ， 常 常 跨越 软件 生存 期 的 各 个 阶段 。 所 
有 这 些 方面 都 应 逐步 建立 标准 或 规范 。 软 件 工程 标准 化 的 主要 内 容 包括 过 程 标准 〈 如 方 
法 、 技 术 和 度量 等 ) 、 产 品 标准 〈 如 需求 、 设 计 、 部 件 、 描 述 、 计 划 和 报告 等 ) 、 专 业 
标准 〈 如 道德 准则 、 认 证 等 ) 、 记 法 标准 〈 如 术语 、 表 示 法 和 语言 等 ) 、 开 发 规范 〈 如 
准则 、 方 法 和 规程 等 )、 文 件 规范 〈 如 文件 范围 、 文 件 编制 、 文 件 内 容 要 求 和 编写 提示 ) 、 
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维护 规范 〈 如 软件 维护 、 组 织 与 实施 等 ) 以 及 质量 规范 〈 如 软件 质量 保证 、 软 件 配置 管 
理 、 软 件 测 试 和 软件 验收 等 ) 等 。 

我 国 于 1983 年 5 月 成 立 了 “计算 机 与 信息 处 理 标准 化 技术 委员 会 ”， 下 设 13 个 分 
技术 委员 会 ， 其 中 程序 设计 语言 分 技术 委员 会 和 软件 工程 技术 委员 会 与 软件 相关 。 我 国 
推行 软件 工程 标准 化 工作 的 总 原则 是 向 国际 标准 靠拢 ， 对 于 能 够 在 我 国 适 用 的 标准 全 部 
按 等 同 采 用 的 方法 , 以 促进 国际 交流 。 虽然 我 国 的 软件 工程 标准 化 工作 仍 处 于 起 步 阶段 ， 
但 在 提高 我 国 软件 工程 水 平 ， 促 进 软件 产业 的 发 展 以 及 加 强 与 国外 的 软件 交流 等 方面 必 
将 起 到 应 有 的 作用 。 现 已 得 到 国家 批准 的 软件 工程 国家 标准 有 下 述 4 个 标准 。 

1) 基础 标准 

(1) 信息 处 理 : 程序 构造 及 其 表示 法 的 约定 GB/T 13502-92。 

(2) 信息 处 理 系统 : 计算 机 系统 配置 图 符号 及 其 约定 GB/T 14085-93。 

(3) 软件 工程 术语 标准 GB/T 11457-89。 

(4) 软件 工程 标准 分 类 法 GB/T 15538-95。 

2) 开发 标准 

(1) 软件 开发 规范 GB 8566-88。 

(2) 计算 机 软件 单元 测试 GB/T 15532-95。 

(3) 软件 维护 指南 GB/T 14079-93。 

3) 文档 标准 

(1) 计算 机 软件 产品 开发 文件 编制 指南 GB 8567-88。 

(2) 计算 机 软件 需求 说 明 编制 指南 GB/T 9385-88。 

(3) 计算 机 软件 测试 文件 编制 指南 GB/T 9386-88。 

4) 管理 标准 

(1) 计算 机 软件 配置 管理 计划 规范 GB/T 12505-90。 

(2) 计算 机 软件 质量 保证 计划 规范 GB/T 12504-90。 

(3) 计算 机 软件 可 靠 性 和 可 维护 性 管理 GB/T 14394-93。 

(4) 信息 技术 、 软 件 产品 评价 、 质 量 特性 及 其 使 用 指南 GB/T 16260-96。 


5.1.9 ISO 9000: 2000 标准 


ISO 9000 标准 是 一 系列 标准 的 统称 。 其 质量 管理 模式 为 企业 管理 注入 了 新 的 活力 和 
生机 ， 给 质量 管理 体系 提供 评价 基础 ， 为 企业 进行 世界 贸易 带 来 质量 可 信和 度 。ISO 9000 
过 程 方法 的 概念 、 顾 客 需 求 以 及 持续 改进 的 思想 贯穿 于 整个 标准 ， 把 组 织 的 质量 管理 体 
系 满足 顾客 要 求 的 能 力 和 程度 体现 在 标准 的 要 求 之 中 。ISO 9000: 2000 标准 的 推出 ， 标 
志 着 国际 标准 化 活动 已 从 名 词 术语 、 试 验方 法 及 产品 质量 三 大 传统 领域 迈 向 了 管理 体系 
的 标准 化 与 认证 阶段 。 

ISO 9000: 2000 族 标准 的 构成 如 下 。 
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(1) 4 个 核心 标准 ， 即 ISO 9000: 2000《 基 本 原理 和 术语 》、ISO 9001: 2000《 质 
量 管理 体系 一 要 求 》、ISO 9004: 2000《 质 量 管理 体系 一 一 业绩 改进 指南 》 和 ISO 9011: 
2000《 质 量 和 环境 管理 审核 指南 》。 

(2) 一 个 支持 标准 ISO 10012《 测 量 设 备 的 质量 保证 要 求 》。 

(3) 6 个 技术 报告 ， 即 ISO 10006《 项 目 管理 指南 》、ISO 10007《 技 术 状 态 管理 指 
南 》、ISO 10013《 质 量 管理 体系 文件 指南 》、ISO 10014《 质 量 经 济 性 指南 》、ISO 10015 
《教育 和 培训 指南 》 和 ISO 10017《 统 计 技 术 在 ISO 9001 中 的 应 用 指南 》。 

(4) 三 个 小 册子 ， 即 质量 管理 原理 、 选 择 和 使 用 指南 、 小 型 企业 的 应 用 指南 和 一 个 
技术 规范 。 


s.1.10 能力 成 熟 度 模 型 


CMM 是 Camegie Mellon 大 学 软件 工程 研究 所 〈CMU / SEI) 在 与 企业 界 和 政府 合 
作 的 基础 上 开发 出 来 的 模型 。CMM 以 几 十 年 产品 质量 概念 和 软件 工业 的 经 验 及 教训 为 
基础 ， 为 软件 企业 的 软件 能 力 不 断 走向 成 熟 提 供 了 有 效 的 步骤 和 阶梯 式 的 进化 框架 。 它 
指明 了 一 个 成 熟 的 软件 企业 在 软件 开发 方面 需要 管理 的 主要 工作 ,这些 工作 之 间 的 关系 ， 
以 及 以 怎样 的 先后 次 序 一 步 一 步 地 达到 预定 的 目标 ， 从 而 得 到 持续 的 过 程 改进 ， 实 现 企 
业 高 效率 、 低 成 本 地 交付 高 质量 软件 产品 的 战略 目标 。 

CMM 为 软件 企业 的 过 程 能 力 提 供 了 一 个 阶梯 式 的 进化 框架 ， 将 软件 过 程 改进 的 进 
化 步骤 组 织 成 5 个 成 熟 度 等 级 ， 每 一 个 级 别 定义 了 一 组 过 程 能 力 目 标 ， 并 描述 了 要 达到 
这 些 目标 应 该 采取 的 实践 活动 ， 为 过 程 不 断 改进 莫 定 了 循序 渐进 的 基础 。 第 一 级 实际 上 
是 一 个 起 点 ， 任 何 准 备 按 CMM 体系 进化 的 企业 都 自然 处 于 这 个 起 点 上 ， 并 通过 这 个 起 
点 向 第 二 级 迈进 。 除 第 一 级 外 ， 每 一 级 都 设 定 了 一 组 目标 ， 如 果 达 到 了 这 组 目标 ， 则 表 
明达 到 了 这 个 成 熟 级 别 ， 可 以 向 下 一 个 级 别 迈 进 。CMM 体系 不 主张 跨越 级 别 的 进化 ， 
因为 从 第 二 级 起 ， 每 一 个 低级 别 的 实现 均 是 高 级 别 实现 的 基础 。 

(1) 在 初始 级 ， 企 业 一 般 缺 少 有 效 的 管理 ， 不 具备 稳定 的 软件 开发 与 维护 的 环境 。 
此 时 ， 软 件 过 程 是 未 加 定义 的 随意 过 程 ， 项 目的 执行 是 随意 的 甚至 是 混乱 的 ， 几 乎 没有 
定义 过 程 的 规则 (或 步骤 ) 。 软件 过 程 在 实际 的 工作 过 程 中 被 经 常 改 变 (过 程 是 随意 的 ) ， 
其 成 果 是 不 稳定 的 ， 不 可 预见 的 ， 不 可 重复 的 。 也 就 是 说 ， 软 件 的 计划 、 预 算 、 功 能 和 
产品 的 质量 都 是 不 可 确定 和 不 可 预见 的 。 项 目的 成 功 完 全 依赖 个 人 的 能 力 和 他 们 先前 的 
经 验 、 知 识 以 及 他 们 的 进取 心 和 积极 程度 。 当 项 目 遇 到 危机 时 ， 通 常会 放弃 原 定 的 计划 
而 只 专注 于 编程 与 测试 。 有 些 企 业 制 定 了 一 些 软件 工程 规范 ， 但 这 些 规 范 未 能 覆盖 基本 
的 关键 过 程 要 求 ， 并 且 在 执行 中 没有 政策 、 资 源 等 方面 的 保证 ， 因 此 它 仍然 被 视 为 初 
始 级 。 

(2) 在 可 重复 级 ， 企 业 建 立 了 基本 的 项 目 管理 过 程 的 政策 和 管理 规程 ， 对 成 本 、 进 
度 和 功能 进行 监控 ， 以 加 强 过 程 能 力 。 对 新 项 目的 计划 和 管理 是 基于 以 往 的 相似 或 同类 
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项 目的 成 功 经 验 ， 以 确保 再 一 次 的 成 功 。 一 个 可 管理 的 过 程 则 是 一 个 可 重复 的 过 程 ， 一 
个 可 重复 的 过 程 则 能 逐渐 进化 和 成 熟 。 这 一 级 的 重点 集中 在 软件 管理 过 程 上 ， 包 括 需求 
管理 、 项 目 管理 、 质 量 管理 、 配 置 管理 和 子 合同 管理 等 方面 。 软 件 项 目的 计划 和 跟踪 与 
监控 的 稳定 实施 ， 表 现 出 一 个 按 计 划 执 行 的 且 阶 段 可 控 的 软件 开发 过 程 ， 并 表明 软件 开 
发 过 程 是 相对 稳定 的 。 过 程 建 立 在 项 目 一 级 ， 项 目的 成 功 依赖 于 个 人 的 能 力 以 及 管理 层 
的 支持 。 

(3) 在 定义 级 ， 企 业 全面 采 用 综合 性 的 管理 及 工程 过 程 来 管理 ， 对 整个 软件 生命 周 
期 的 管理 与 工程 化 过 程 都 已 标准 化 ， 并 综合 成 软件 开发 企业 标准 的 软件 过 程 。 企 业 标准 
软件 过 程 被 证 明 是 正确 且 实用 的 ， 所 有 开发 的 项 目 需 根据 标准 过 程 ， 剪 裁 出 与 项 目 适宜 
的 过 程 ， 并 执行 这 些 过 程 。 企 业 标准 软件 过 程 被 应 用 到 所 有 的 工程 中 ， 用 于 编制 和 维护 
软件 。 有 的 项 目 也 可 根据 实际 情况 ， 对 软件 开发 组 织 的 标准 软件 过 程 进 行 剪裁 。 定 义 级 
建立 了 软件 工程 过 程 小 组 ， 长 期 承担 评估 与 调整 软件 过 程 的 任务 ， 以 适应 未 来 软件 项 目 
的 要 求 。 企 业内 部 的 所 有 人 对 于 所 定义 的 软件 过 程 的 活动 、 任 务 有 深入 了 解 ， 以 项 目 组 
的 方式 进行 工作 ， 形 成 产品 团队 。 

(4) 在 管理 级 ， 企 业 开始 定量 地 认识 软件 过 程 ， 软 件 质量 管理 和 软件 过 程 管理 是 量 
化 的 管理 。 对 软件 过 程 与 产品 质量 建立 了 定量 的 质量 目标 ， 制 定 了 软件 过 程 和 产品 质量 
的 详细 而 具体 的 度量 标准 ， 实 现 了 度量 标准 化 。 通 过 一 致 的 度量 标准 来 指导 软件 过 程 ， 
保证 所 有 项 目 对 生产 率 和 质量 进行 度量 ， 并 作为 评价 软件 过 程 及 产品 的 定量 基础 。 量 化 
控制 使 得 软件 开发 真正 变 成 一 种 工业 生产 活动 。 软 件 过 程 按照 明确 的 度量 标准 度量 和 操 
作 ， 软 件 过 程 以 及 软件 产品 的 质量 的 一 些 趋势 就 可 以 得 到 控制 和 预见 。 经 度量 后 一 旦 发 
现 质量 超出 或 违反 标准 ， 可 以 采用 一 些 方法 及 时 改进 。 每 个 人 都 了 解 个 人 的 作用 与 企业 
的 关系 ， 存 在 强烈 的 群体 工作 意识 。 

(5) 在 优化 级 ， 企 业 将 会 把 工作 重点 放 在 对 软件 过 程 改进 的 持续 性 、 预 见 及 增强 自 
身 ， 防 止 缺陷 及 问题 的 发 生 ， 不 断 地 提高 过 程 处 理 能 力 上 。 通 过 来 自 过 程 执行 的 质量 反 
馈 和 吸收 新 方法 和 新 技术 的 定量 分 析 来 改善 下 一 步 的 执行 过 程 ， 即 优化 执行 步 又， 使 软 
件 过 程 能 不 断 地 得 到 改进 。 根 据 软件 过 程 的 效果 ， 进 行 成 本 / 利润 分 析 ， 从 成 功 的 软件 
过 程 中 吸取 经 验 ， 把 最 好 的 创新 成 绩 迅速 向 全 企业 转移 ， 对 失败 的 案例 进行 分 析 以 找 出 
原因 并 预先 改进 ， 把 失败 的 教训 告知 全 体 组 织 以 防止 重复 以 前 的 错误 ， 不 断 提 高 产品 的 
质量 和 生产 率 。 整 个 企业 都 存在 自沉 的、 强烈 的 团队 意识 ， 每 个 人 都 致力 于 过 程 改进 ， 
力求 减少 错误 率 。 


5.1.11 ”相关 标准 


计算 机 综合 布线 、 计 算 机 网 络 及 系统 集成 方面 的 国家 标准 、 行 业 标 准 以 及 企业 标准 
主要 如 表 5-1 所 示 。 
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标准 编号 


表 5-1 相关 标准 
名 称 


20030191-T-339 


数字 域名 规范 


20032261-T-339 


应 用 于 无 线 卫 技术 的 网 络 安全 规范 


20032279-T-339 


因特网 广告 电子 邮件 格式 要 求 


20051268-T-339 


GB/T 17178.2-XXXX 信息 技术 开放 系统 互 连 一 致 性 测试 方法 和 框架 第 2 
部 分 : 抽象 测试 套 规范 


20051269-T-339 


GB/T 17178.4-XXXX 信息 技术 开放 系统 互 连 一 致 性 测试 方法 和 框架 第 4 
部 分 : 测试 实现 


20051292-T-339 


信息 技术 开放 系统 互 连 OSI 登记 机 构 的 操作 规程 第 3 部 分 : ISO 和 ITU-T 
管理 的 顶级 弧 下 的 对 象 标识 符 弧 的 登记 


20060540-T-469 


20060547-T-469 


20061052-T-469 


20061177-T-469 
20061689-T-469 
20061953-T-469 
20061954-T-469 
20061955-T-469 


整合 《信息 技术 系统 间 的 远程 通信 和 信息 交换 提供 和 支持 OSI 网 络 服务 的 
协议 组 合 第 1 部 分 : 一 般 原则 》《 信 息 技 术 系统 间 的 远程 通信 和 信息 交换 
提供 和 支持 OSI 网 络 服务 的 协议 组 合 第 2 部 分 : 提供 和 支持 连接 方式 的 网 
络 服务 》《 信 息 技术 系统 间 的 远程 通信 和 信息 交换 提供 和 支持 OSI 网 络 服 
务 的 协议 组 合 第 3 部 分 : 提供 和 支持 无 连接 方式 的 网 络 服务 》 

整合 《信息 技术 开放 系统 互 连 局 域 网 媒体 访问 控制 (MAC ) 服务 定义 》《 信 
息 技术 系统 间 远 程 通信 和 信息 交换 局 域 网 和 城 域 网 公共 规范 第 1 部 分 : 
媒体 访问 控制 (MAC) 服务 定义 》 

整合 《信息 处 理 系统 数据 通信 高 级 数据 链 路 控制 平衡 类 规程 交换 环境 中 
数据 链 路 层 地 址 的 决定 /协商 》《 信 息 技术 系统 之 间 的 远程 通信 和 信息 交换 
高 级 数据 链 路 控制 (HDLC) 规程 通用 XID 帧 信息 字段 内 容 和 格式 》《 信 息 
处 理 系统 数据 通信 高 级 数据 链 路 控制 规程 规程 类 别 汇编 》《 信 息 处 理 系 
统 数据 通信 高 级 数据 链 路 控制 规程 帧 结构 》《 数 据 通信 高 级 数据 链 路 控 
制 规程 规程 要 素 汇 编 》 

数据 通信 基本 型 控制 规程 

数据 通信 DTE 提供 定时 的 使 用 X.24 互 换 电路 的 DTE 到 DTE 物理 连接 
信息 技术 开放 系统 互 连 目录 第 1 部 分 : 概念 、 模 型 和 服务 的 概述 

信息 技术 开放 系统 互 连 目录 第 2 部 分 : 模型 

信息 技术 开放 系统 互 连 目录 第 3 部 分 : 抽象 服务 定义 


20061956-T-469 
20061957-T-469 


信息 技术 开放 系统 互 连 目录 第 5 部 分 : 协议 规范 
信息 技术 开放 系统 互 连 目录 第 6 部分: 选择 属性 类 型 


20061958-T-469 
20062178-T-469 


信息 技术 开放 系统 互 连 目录 第 7 部 分 : 选择 客体 类 
信息 技术 开放 系统 互 连 公共 管理 信息 服务 定义 


20062179-T-469 


20062200-T-469 


20062202-T-469 


信息 技术 开放 系统 互 连 公共 管理 信息 协议 第 1 部 分 : 规范 

信息 技术 国际 标准 化 轮廓 的 框架 和 分 类 方法 第 2 部 分 : OSI 轮廓 用 的 原则 
和 分 类 方法 

信息 处 理 系统 开放 系统 互 连 联系 控制 服务 元 素 服务 定义 


20062281-T-469 


信息 技术 系统 间 的 远程 通信 和 信息 交换 X.25 DTE 一 致 性 测试 第 3 部 分 : 
分 组 层 一 致 性 测试 套 


20062517-T-469 
20062523-T-469 


信息 技术 开放 系统 互 连 系统 管理 综述 
信息 技术 开放 系统 互 连 分 布 式 事务 处 理 第 1 部 分 : OSITP 模型 
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标准 编号 
20062524-T-469 


续 表 
名 称 
信息 技术 开放 系统 互 连 分 布 式 事务 处 理 第 2 部 分 : OSI TP 服务 


20062525-T-469 
20062607- 工 469 


信息 技术 开放 系统 互 连 分 布 式 事务 处 理 第 3 部 分 : 协议 规范 
信息 处 理 DTE/DCE 接口 处 起 止 式 传输 的 信号 质量 


20062608- 工 469 


信息 处 理 系统 数据 通信 高 级 数据 链 路 控制 规程 与 X.25 LAPB 兼容 的 DTE 
数据 链 路 规程 的 描述 


20063114-T-469 
20063115-T-469 


信息 处 理 数据 通信 使 用 25 插 针 连接 器 的 DTE/DCE 接口 备用 控制 操作 
信息 处 理 系统 数据 通信 网 络 服务 定义 


20063116-T-469 
20063117-T-469 
20063205-T-469 
20063209-T-469 
20063454-T-469 


20063455-T-469 


20063478-T-469 
20063530-T-469 
20063531-T-469 
20063532-T-469 
20063817-T-469 
20064290-T-469 
20064298-T-469 
20064324-T-469 
20064442-T-469 
20064553-T-469 


20064585-T-469 


20064673-T-469 


信息 处 理 系 统 数据 通信 双 扭 线 多 点 互 连 

信息 处 理 系 统 开放 系统 互 连 面向 连接 的 基本 会 话 服务 定义 
信息 处 理 系 统 开放 系统 互 连 运输 服务 定义 

信息 处 理 系 统 开放 系统 互 连 面向 连接 的 运输 协议 规范 

信息 处 理 系 统 局 域 网 第 2 部 分 : 逻辑 链 路 控制 

信息 处 理 系统 局 域 网 第 3 部 分 : 带 碰 撞 检测 的 载波 侦 听 多 址 访问 
(CSMA/CD) 的 访问 方法 和 物理 层 规范 

信息 处 理 系统 开放 系统 互 连 面向 连接 的 表示 服务 定义 

数据 通信 37 插 针 及 9 插 针 DTE/DCE 接口 连接 器 和 插 针 分 配 

数据 通信 34 插 针 DTE/DCE 接口 连接 器 和 插 针 分 配 

数据 通信 15 插 针 DTE/DCE 接口 连接 器 和 插 针 分 配 

信息 处 理 系统 开放 系统 互 连 基本 参考 模型 第 3 部 分 : 命名 与 编 址 

信息 技术 局 域 网 和 城 域 网 第 5 部 分 : 令 牌 环 访问 方法 和 物理 层 规范 
信息 处 理 系 统 开放 系统 互 连 面向 连接 的 表示 协议 规范 

信息 技术 国际 标准 化 轮廓 的 框架 和 分 类 方法 第 1 部 分 : 框架 

信息 技术 开放 系统 互 连 目录 第 4 部 分 : 分 布 式 操作 规程 
信息 处 理 系 统 开放 系统 互 连 联系 控制 服务 元 素 协议 规范 

信息 技术 系统 间 的 远程 通信 和 信息 交换 X.25 DTE 一 致 性 测试 第 2 部 分 : 
数据 链 路 层 一 致 性 测试 套 

信息 技术 提供 无 连接 方式 网 络 服务 的 协议 第 1 部 分 : 协议 规范 


20064697-T-469 


数据 通信 使 用 V.24 和 X.24 互 换 电 路 的 DTE 到 DTE 物理 连接 的 接 法 


20070005-T-469 


信息 技术 系统 间 远 程 通信 和 信息 交换 局 域 网 和 城 域 网 特定 要 求 无 线 高 
速率 超 宽带 物理 层 和 媒体 访问 控制 规范 


20070006- 工 469 


信息 技术 系统 间 远 程 通信 和 信息 交换 局 域 网 和 城 域 网 特定 要 求 无 线 高 
速率 超 宽带 物理 层 和 媒体 访问 接口 规范 


20070007- 工 469 


信息 技术 系统 间 远 程 通信 和 信息 交换 局 域 网 和 城 域 网 特定 要 求 第 15.4 
部 分 : 低速 率 无 线 个 域 网 (WPAN) 物理 层 和 媒体 访问 控制 层 规范 


20070008- 工 469 


信息 技术 开放 系统 互 连 对 象 标识 符 〈OID) 的 国家 编号 体系 和 注册 规程 


20075429-T-469 


GB/T 17178.6-XXXX 信息 技术 开放 系统 互 连 一 致 性 测试 方法 和 框架 第 6 
部 分 : 协议 轮廓 测试 规范 


20075437- 工 469 


测试 描述 方法 (MTS); 测试 和 测试 控制 表示 法 第 三 版 ; 第 一 部 分 : TTCN-3 
核心 语言 
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续 表 
序号 | 标准 编号 名 称 
56 |20075464-T-469 | 基于 联邦 模型 的 P2P 网 络 管理 方法 
57 |20075519-T-469 | 无 线 局 域 网 测评 规范 
58 |20075590-T-469 | 信息 技术 报 文 处 理 系 统 MHS) 第 10 部 分 : MHS 路 由 选择 
59 ”|20075591-T-469 | 信息 技术 报 文 处 理 系统 (MHS) 第 8 部 分 : 电子 数据 交换 报 文 服务 
60 |20075592-T-469 | 信息 技术 报 文 处 理 系统 (MHS) 第 9 部分: 电子 数据 交换 报 文系 统 
信息 技术 计算 机 图 形 和 图 像 处 理 扩充 3D(X3D) 第 1 部 分 : 体系 结构 和 
基础 部 件 
62 |20075603-T-469 | 信息 技术 家 用 通用 布线 
信息 技术 开放 系统 互 连 OSI 注册 机 构 操 作 规程 : 唯一 标识 符 (UUID) 的 
生成 和 注册 及 其 作为 ASN.1 客体 标识 符 部 件 的 使 用 
信息 技术 开放 系统 互 连 一 致 性 测试 方法 和 框架 第 5 部 分 : 测试 实验 室 和 
客户 关于 一 致 性 评定 过 程 的 要 求 
65 |20075625-T-469 | 信息 技术 用 户 建筑 群 的 路 径 和 间隔 


《综合 布线 国家 标准 GBT-T 2050311-2000》 从 系统 设计 、 系 统 指标 、 工 作 区 、 配 线 
子 系统 、 干 线 子 系统 、 设 备 间 、 管 理 、 建筑 群 子 系统 、 电 气 防护 、 接 地 及 防火 以 及 安装 
工艺 要 求 对 计算 机 布线 系统 进行 了 详尽 地 规范 和 指定 。 为 了 适应 经 济 建 设 高 速 发 展 和 改 
革 开 放 的 社会 需求 ， 配 合 现代 化 城市 建设 和 信息 通信 网 向 数字 化 、 综 合 化 、 智 能 化 方向 
发 展 ， 搞 好 建筑 与 建筑 群 的 电话 、 数 据 、 图 文 和 图 像 等 多 媒体 综合 网 络 建设 ， 特 制定 综 
合 布线 国家 标准 规范 。 本 规范 适用 于 新 建 、 扩 建 、 改 建 建筑 与 建筑 群 的 综合 布线 系统 工 
程 设 计 。 综 合 布线 系统 的 设施 及 管线 的 建设 ， 应 纳入 建筑 与 建筑 群 相应 的 规划 之 中 。 综 
合 布线 系统 应 与 大 楼 办 公 自 动 化 (OA) 、 通 信 自 动 化 CA) 和 楼 宇 自动 化 (BA) 等 系 
统统 筹 规划 ， 按 照 各 种 信息 的 传输 要 求 做 到 合理 使 用 ， 并 应 符合 相关 的 标准 。 工 程 设计 
时 ， 应 根据 工程 项 目的 性 质 、 功 能 、 环 境 条 件 和 近 、 远 用 户 要 求 进行 综合 布线 系统 设施 
和 管线 的 设计 。 工 程 设计 施工 必须 保证 综合 布线 系统 的 质量 和 安全 ， 考 虑 施工 和 维护 方 
便 , 做 到 技术 先进 , 经 济 合 理 。 工 程 设 计 中 必须 选用 符合 国家 有 关 技 术 标 准 的 定型 产品 。 
未 经 国家 认可 的 产品 质量 监督 检验 机 构 鉴 定 合格 的 设备 及 主要 材料 ,不 得 在 工程 中 使 用 。 
综合 布线 系统 的 工程 设计 ， 除 应 符合 本 规范 外 ， 尚 应 符合 国家 现行 的 相关 强制 性 标准 的 
规定 。 建 筑 与 建筑 群 综合 布线 系统 (generic cabling system for building and campus) 是 指 
建筑 物 或 建筑 群 内 的 传输 网 络 。 它 既 使 话音 和 数据 通信 设备 、 交 换 设备 和 其 他 信息 管理 
系统 彼此 相连 ， 又 使 这 些 设 备 与 外 部 通信 网 络 相 连接 。 它 包括 建筑 物 到 外 部 网 络 或 电话 
局 线路 上 的 连 线 点 与 工作 区 的 话音 或 数据 终端 之 间 的 所 有 电缆 及 相关 联 的 布线 部 件 。 

目前 在 国内 广泛 使 用 的 综合 布线 标准 是 美国 的 EIA-568A、EIA-568B。 

《数字 域名 系统 国家 标准 SIT 11271-2002》 从 数字 域名 系统 、 数 字 域 名 的 扩展 、 数 字 
域名 与 PP 地 址 的 映射 以 及 标准 的 实施 等 几 个 方面 对 数字 域名 系统 进行 了 规范 。 主 要 规定 
了 数字 域名 的 结构 、 语 法 以 及 数字 域名 与 网 络 地 址 〈 主 要 是 人 P 地 址 ) 之 间 的 映射 机 制 ， 


61 |20075602-T-469 


63 |20075605-T-469 


64 |20075606-T-469 
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同时 规定 了 数字 域名 标准 的 实施 要 求 。 本 规范 适用 于 因特网 的 数字 域名 的 命名 、 系 统 运 
行 和 系统 实现 。 

计算 机 信息 系统 集成 通常 称 为 计算 机 系统 集成 ， 简 称 系统 集成 。 在 系统 集成 方面 ， 
国家 暂时 没有 出 台 相应 的 国家 标准 。1999 年 ， 信 息 产 业 部 颁发 的 《计算 机 信息 系统 集成 
资质 管理 办 法 《试行 ) 》 第 二 条 指出 ， 计 算 机 信息 系统 集成 是 指 从 事 计 算 机 应 用 系统 工 
程 和 网 络 系统 工程 总 体 策划 、 设 计 、 开 发 、 实 施 、 服 务 及 保障 。 早 期 的 “系统 集成 ” 技 
术 主 要 包括 计算 机 和 网 络 设备 软 硬 件 安装 和 测试 、 网 络 布线 和 测试 以 及 防火 、 防 雷击 、 
防 静 电 等 物理 安全 。 发 展 至 今 ，“ 系 统 集成 ”技术 主要 包括 以 下 几 个 方面 : 系统 解决 方 
案 ; 软件 系统 开发 ; 各 子 系统 之 间 的 集成 ;信息 系 统 安全 等 。 按 照 信息 产业 部 《计算 机 
信息 系统 集成 资质 管理 办 法 〈 试 行 ) 》 的 规定 ， 计 算 机 信息 系统 集成 包括 总 体 策划 、 设 
计 、 开 发 、 实 施 、 服 务 及 保障 全 过 程 。 由 于 系统 集成 包含 的 内 容 太 广泛 ， 暂 无 国家 标准 ， 
但 随 着 整个 社会 信息 化 以 及 电子 政务 的 发 展 , 系统 集成 在 IT 行业 中 占有 很 大 比重 且 发 展 
迅速 ， 各 部 门 为 了 促进 本 行业 信息 化 的 发 展 ， 纷 纷 先 于 国家 标准 而 制定 了 本 部 门 的 信息 
系统 集成 标准 。 如 国家 环保 总 局 发 布 的 《环境 信息 系统 集成 技术 规范 HJ/T 418-2007》， 
从 总 体 框架 、 应 用 集成 、 数 据 集成 以 及 网 络 集成 等 几 个 方面 对 环境 信息 系统 的 建设 进行 
了 较为 详尽 地 规范 。 


5.2 ”知识 产权 


5.2.1 知识 产权 的 概念 与 特点 


1. 知识 产权 的 概念 

知识 产权 是 人 们 基于 自己 的 智力 活动 创造 的 成 果 和 经 营 管理 活动 中 的 经 验 、 知 识 而 
依法 享有 的 权利 。《 中 华人 民 共 和 国民 法 通则 》 规 定 ， 知 识 产权 是 指 民 事权 利 主体 〈 公 
民 、 法 人 ) 基于 创造 性 的 智力 成 果 。 知 识 产权 可 分 为 工业 产权 和 著作 权 。 

(1) 工业 产权 。 根 据 保护 工业 产权 巴黎 公约 第 一 条 的 规定 ， 工 业 产权 包括 专利 、 实 
用 新 型 、 工 业 品 外 观 设计 、 商 标 、 服 务 标记 、 厂 商 名 称 、 产 地 标记 或 原 产 地 名 称 、 制 止 
不 正当 竞争 等 项 内 容 。 此 外 ， 商 业 秘 密 、 微 生物 技术 和 遗传 基因 技术 等 也 属于 工业 产权 
保护 的 对 象 。 对 于 工业 产权 保护 的 对 象 ， 可 以 分 为 创造 性 成 果 权 利和 识别 性 标记 权利 。 
发 明 、 实 用 新 型 和 工业 品 外 观 设 计 等 为 创造 性 成 果 权 利 ， 它 们 的 智力 创造 的 表现 比较 明 
显 ， 发 明和 实用 新 型 是 利用 自然 规律 做 出 的 解决 特定 问题 的 新 的 技术 方案 ， 工 业 品 外 观 
设计 是 确定 工业 品 外 表 的 美学 创作 ， 完 成 人 需要 付出 创造 性 劳动 。 商 标 、 服 务 标记 、 厂 
商 名 称 、 产 地 标记 或 原 产 地 名 称 以 及 《中 华人 民 共 和 国 反 不 正当 竞争 法 》 第 五 条 规定 的 
知名 商品 特有 的 名 称 、 包 装 和 装 江 等 为 识别 性 标记 权利 。 

(2) 著作 权 。 著 作 权 〈 也 称 为 版 权 )〉 是 指 作者 对 其 创作 的 作品 享有 的 人 身 权 和 财产 
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权 。 人 身 权 包括 发 表 权 、 署 名 权 、 修 改 权 和 保护 作品 完整 权 等 。 财 产权 包括 作品 的 使 用 
权 和 获得 报酬 权 ， 即 以 复制 、 表 演 、 播 放 、 展 览 、 发 行 、 摄 制 电影 、 电 视 、 录 像 或 者 改 
编 、 翻 译 、 注 释 、 编 辑 等 方式 使 用 作品 的 权利 ， 以 及 许可 他 人 以 上 述 方式 使 用 作品 并 由 
此 获得 报酬 的 权利 。 著 作 权 保 护 的 对 象 包括 文学 、 科 学 和 艺术 领域 内 的 一 切 作 品 ， 不 论 
其 表现 形式 或 方式 如 何 ， 诸 如 书籍 、 小 册子 和 其 他 著作 ;， 讲课、 演讲 和 其 他 同类 性 质 作 
品 ; 戏剧 或 音乐 作品 ;舞蹈 艺术 作品 和 哑 剧 作品 ; 配 词 或 未 配 词 的 乐曲 ， 电 影 作品 以 及 
与 使 用 电影 摄影 艺术 类 似 的 方法 表现 的 作品 ;， 图画、 油画 、 建 筑 、 雕 塑 、 雕 刻 和 版 画 ; 
摄影 作品 以 及 使 用 与 摄影 艺术 类 似 的 方法 表现 的 作品 ;与 地 理 、 地 形 建筑 或 科学 技术 有 
关 的 示意 图 、 地 图 、 设 计 图 和 草图 等 。 

2. 知识 产权 的 特点 

(1) 无 形 性 。 知 识 产权 的 客体 指 的 是 智力 创作 性 成 果 《〈 也 称 为 知识 产品 ) ， 是 一 种 
没有 形体 的 精神 财富 。 

(2) 双重 性 。 某 些 知识 产权 具有 财产 权 和 人 身 权 双 重 性 。 例 如 著作 权 ， 其 财产 权 属 
性 主要 体现 在 所 有 人 享有 的 独占 权 以 及 许可 他 人 使 用 而 获得 报酬 的 权利 ， 所 有 人 可 以 通 
过 独自 实施 获得 收益 ， 也 可 以 通过 有 偿 许 可 他 人 实施 获得 收益 ， 还 可 以 像 有 形 财 产 那样 
进行 买卖 或 抵押 ， 其 人 身 权 属性 主要 是 指 署名 权 等 。 有 的 知识 产权 具有 单一 的 属性 ， 例 
如 ， 发 现 权 只 具有 名 誉 权 属性 ， 不 具有 财产 权 属性 ;商业 秘密 只 具有 财产 权 属 性 ， 不 有 具 
有 人 身 权 属性 等 。 

(3) 确认 性 。 无 形 的 智力 创作 性 成 果 不 像 有 形 财产 那样 直观 可 见 ， 因 此 ， 确 认 智 力 
创作 性 成 果 的 财产 权 需 要 依法 审查 确认 得 到 法 律 保 护 。 例 如, 发 明 人 所 完成 的 发 明 创造 ， 
其 实用 新 型 或 者 外 观 设计 已 经 具有 价值 和 使 用 价值 。 但 是 ， 其 完成 人 尚 不 能 自动 获得 专 
利 权 ， 必 须 依 照 《 中 华人 民 共和 国 专利 法 》 的 有 关 规 定 ， 向 国家 专利 局 提出 专利 申请 ， 
专利 局 依照 法 定 程序 进行 审查 ， 申 请 符合 专利 法 规定 条 件 的 ， 由 专利 局 做 出 授予 专利 权 
的 决定 ， 颁 发 专利 证 书 ， 只 有 当 专 利 局 发 布 授权 公告 后 ， 其 完成 人 才 享 有 该 项 知识 产权 。 
又 如 商标 权 的 获得 ， 我 国 实行 注册 制 ， 只 有 向 国家 商标 局 提出 注册 申请 ， 经 审查 核准 注 
册 后 ， 才 能 获得 商标 权 。 

(4) 独占 性 。 由 于 智力 成 果 具 有 可 以 同时 被 多 个 主体 所 使 用 的 特点 ， 因 此 ， 法 律 授 
予 知识 产权 一 种 专 有 权 , 即 具有 独占 性 。 未 经 其 权利 人 许可 ,任何 单位 或 个 人 不 得 使 用 ， 
否则 就 构成 侵权 ， 并 承担 相应 的 法 律 责 任 。 法 律 对 各 种 知识 产权 都 规定 了 一 定 的 限制 条 
件 ， 但 这 些 限制 条 件 不 影响 其 独占 性 特征 。 少 数 知识 产权 不 具有 独占 性 特征 。 例 如 ， 技 
术 秘 密 的 所 有 人 不 能 禁止 第 三 人 使 用 其 独立 开发 完成 的 或 者 合法 取得 的 相同 技术 秘密 。 

(5) 地 域 性 。 知 识 产权 具有 严格 的 地 域 性 特点 ， 即 各 国 主管 机 关 依 照 其 本 国法 律 授 
予 的 知识 产权 ， 只 能 在 其 本 国 领域 内 受 法 律 保护 。 例 如 ， 中 国 专利 局 授予 的 专利 权 或 中 
国 商标 局 核准 的 商标 专用 权 ， 只 能 在 中 国 领域 内 受 保护 ， 其 他 国家 则 不 给 予 保护 ， 外 国 
人 在 我 国 领域 外 使 用 中 国 专利 局 授权 的 发 明 专 利 ， 不 侵犯 我 国 专利 权 。 著 作 权 虽 然 自动 
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产生 ， 但 它 受 地 域 限制 。 我 国法 律 对 外 国人 的 作品 并 不 是 都 给 予 保护 ， 只 保护 共同 参加 
国际 条 约 国 家 的 公民 的 作品 。 同 样 ， 公 约 的 其 他 成 员 国 也 按照 公约 规定 ， 对 我 国 公 民 和 
法 人 的 作品 给 予 保护 。 

(6) 时 间 性 。 知 识 产权 具有 法 定 的 保护 期 限 ， 一 旦 保护 期 限 届满 ， 权 利 将 自行 终止 ， 
成 为 社会 公众 可 以 自由 使 用 的 知识 。 至 于 期 限 的 长 短 ， 依 各 国 的 法 律 确定 。 例 如 ， 我 国 
发 明 专利 的 保护 期 为 20 年 ， 实 用 新 型 专利 权 和 外 观 设 计 专 利 权 的 期 限 为 10 年 ， 均 自 专 
利 申请 日 起 计算 。 我 国 公民 的 作品 发 表 权 的 保护 期 为 作者 终生 及 其 死亡 后 50 年 。 我 国 商 
标 权 的 保护 期 限 自 核准 注册 之 日 起 10 年 ,但 可 以 根据 其 所 有 人 的 需要 无 限 地 续 展 权利 期 
限 ， 在 期 限 届满 前 6 个 月 内 申请 续 展 注册 , 每 次 续 展 注册 的 有 效 期 为 10 年 , 续 展 注册 的 
次 数 不 限 。 如 果 商 标 权 人 逾期 不 办 理 续 展 注册 ， 则 其 商标 权 也 将 终止 。 商 业 秘 密 受 法 律 
保护 的 期 限 是 不 确定 的 ， 该 秘密 一 旦 被 公众 所 知悉 ， 即 成 为 公众 可 以 自由 使 用 的 知识 。 


5.2.2 计算 机 软件 将 作 权 的 主体 与 客体 


1. 计算 机 软件 著作 权 的 主体 

计算 机 软件 著作 权 的 主体 是 指 享有 著作 权 的 人 。 计 算 机 软件 著作 权 的 主体 包括 公 
民 、 法 人 和 其 他 组 织 。 

(1) 公民 取得 软件 著作 权 主 体 资格 的 途径 包括 : 公民 自行 独立 开发 软件 (软件 开发 
者 ) ; 订立 委托 合同 ， 委 托 他 人 开发 软件 ， 并 约定 软件 著作 权 归 自己 享有 ;通过 转让 取 
得 软件 著作 财产 权 主体 资格 (软件 权利 的 受 让 者 ) ;合作 开发 计算 机 软件 而 产生 的 公民 
群体 或 者 公民 与 其 他 主体 成 为 计算 机 软件 作品 的 著作 权 人 ; 根据 《中 华人 民 共 和 国 继承 
法 》 的 规定 通过 继承 取得 软件 著作 财产 权 主体 资格 。 

(2) 法 人 取得 计算 机 软件 著作 权 主 体 资格 一 般 通 过 的 途径 有 : 由 法 人 组 织 并 提供 创 
作物 质 条 件 所 实施 的 开发 ， 并 由 法 人 承担 社会 责任 ， 通 过 接受 委托 、 转 让 等 各 种 有 效 合 
同 关系 而 取得 著作 权 主 体 资格 ; 因 计 算 机 软件 著作 权 主 体 〈 法 人 ) 发 生变 更 而 依法 成 为 
著作 权 主体 。 

(3) 其 他 组 织 是 指 除去 法 人 以 外 的 能 够 取得 计算 机 软件 著作 权 的 其 他 民事 主体 ， 包 
括 非 法 人 单位 、 合 作 伙伴 等 。 

2. 计算 机 软件 著作 权 的 客体 

计算 机 软件 著作 权 的 客体 是 指 著作 权 法 保护 的 计算 机 软件 著作 权 的 范围 ( 受 保护 的 
对 象 ) 。 著 作 权 法 保护 的 计算 机 软件 是 指 计算 机 程序 〈 源 程序 和 目标 程序 ) 及 其 有 关 文 
档 〈 程 序 设 计 说 明 书 、 流 程 图 和 用 户 手册 等 ) 。 


5.2.3 ”计算 机 软件 受 著 作 权 法 保护 的 条 件 


1. 独立 创作 
受 保护 的 软件 必须 由 开发 者 独立 开发 创作 ， 任 何 复制 或 抄袭 他 人 开发 的 软件 不 能 获 
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得 著作 权 。 一 个 程序 的 功能 设计 往往 被 认为 是 程序 的 思想 概念 ， 根 据 著 作 权 法 不 保护 思 
想 概 念 的 原则 ， 任 何人 可 以 设计 具有 类 似 功能 的 另 一 件 软 件 作 品 。 

2. 可 被 感知 

受 著 作 权 法 保护 的 作品 应 当 是 固定 在 载体 上 的 作者 创作 思想 的 一 种 实际 表达 。 如 果 
作者 的 创作 思想 未 表达 出 来 不 可 以 被 感知 ， 就 不 能 得 到 著作 权 法 的 保护 。 因 此 ，《 计 算 
机 软件 保护 条 例 》 规 定 ， 受 保护 的 软件 必须 固定 在 某 种 有 形 物体 上 ， 如 固定 在 存储 器 或 
磁盘 、 磁 带 等 计算 机 外 部 设备 上 ， 也 可 以 是 其 他 的 有 形 物 ， 如 纸张 等 。 

3. 逻辑 合理 

计算 机 运行 过 程 实际 上 是 按照 预先 安排 不 断 对 信息 随机 进行 的 逻辑 判断 智能 化 过 
程 。 逻 辑 判断 功能 是 计算 机 系统 的 基本 功能 。 受 著作 权 法 保护 的 计算 机 软件 作品 必须 具 
备 合理 的 逻辑 思想 ， 并 以 正确 的 逻辑 步骤 表现 出 来 。 


5.2.4 ”计算 机 软件 车 作 权 的 权利 


软件 作品 享有 两 类 权利 : 一 类 是 软件 著作 权 的 人 身 权 精神 权利 ) ， 另 一 类 是 软件 
著作 权 的 财产 权 经 济 权 利 )。 

1. 软件 著作 权 的 人 身 权 

软件 著作 权 人 享有 的 发 表 权 和 开发 者 身份 权 ， 是 软件 著作 权 人 的 人 身 权 不 可 分 离 的 
主体 。 

(1) 发 表 权 是 指 决 定 软件 作品 是 否 公之于众 的 权利 ， 即 指 软件 作品 完成 后 ， 以 复制 、 
展示 、 发 行 或 翻译 等 方式 使 软件 作品 公之于众 , 或 者 在 一 定数 量 不 特定 人 的 范围 内 公开 。 
发 表 权 的 具体 内 容 包括 软件 作品 发 表 的 时 间 、 发 表 的 形式 以 及 发 表 的 地 点 等 。 

(2) 开发 者 身份 权 是 指 作者 为 表明 身份 在 软件 作品 上 署 上 自己 名 字 的 权利 。 署 名 可 
有 多 种 形式 ， 既 可 以 署 作者 的 姓名 ， 也 可 以 署 作 者 的 笔名 ， 或 者 作者 自愿 不 署名 。 作 品 
的 署名 对 确认 著作 权 的 主体 具有 重要 意义 。 身 份 权 不 随 软 件 开发 者 的 消亡 而 丧失 ， 而 且 
无 时 间 限 制 。 

2. 软件 著作 权 的 财产 权 

财产 权 是 指 能 够 给 著作 权 人 带 来 经 济 利益 的 权利 。 财 产权 通常 是 指 由 软件 著作 权 人 
控制 和 支配 ， 并 能 够 为 权利 人 带 来 一 定 经 济 效益 的 权利 内 容 。 软 件 著作 权 人 享有 下 述 软 
件 财产 权 。 

(1) 使 用 权 。 使 用 权 是 在 不 损害 社会 公共 利益 的 前 提 下 ， 以 复制 、 修 改 、 发 行 、 翻 
译 和 注释 等 方式 合作 软件 的 权利 。 

(2) 复制 权 。 复 制 是 将 软件 作品 制作 一 份 或 多 份 的 行为 。 复 制 权 就 是 版 权 所 有 人 决 
定 实施 或 不 实施 上 述 复制 行为 或 者 禁止 他 人 复制 其 受 保护 作品 的 权利 。 

(3) 修改 权 。 修 改 是 对 软件 进行 增补 、 删 节 ， 或 者 改变 指令 、 语 句 顺序 等 以 提高 、 
完善 原 软件 作品 的 做 法 .修改 权 即 指 作者 享有 的 修改 或 者 授权 他 人 修改 软件 作品 的 权利 。 
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(4) 发 行 权 。 发 行 权 是 指 为 满足 公众 的 合理 需求 ， 通 过 出 售 、 出 租 或 者 赠与 等 方式 
向 公众 提供 软件 的 原件 或 者 一 定数 量 的 软件 作品 复制 件 的 权利 。 

(5) 翻译 权 。 翻 译 是 指 以 不 同 于 原 软件 作品 的 一 种 程序 语言 转换 该 作品 原 使 用 的 程 
序 语言 ， 而 重 现 软件 作品 内 容 的 创作 。 简 单 地 说 ， 翻 译 权 就 是 指 将 原 软件 从 一 种 程序 语 
言 转换 成 另 一 种 程序 语言 的 权利 。 

(6) 注释 权 。 软 件 作品 的 注释 是 指 对 软件 作品 中 的 程序 语句 进行 解释 ， 以 便 更 好 地 
理解 软件 作品 。 注 释 权 是 指 著作 权 人 对 自己 的 作品 享有 进行 注释 的 权利 。 

(7) 信息 网 络 传播 权 。 即 以 有 线 或 者 无 线 信息 网 络 方式 向 公众 提供 软件 作品 ， 使 公 
众 可 在 其 个 人 选 定 的 时 间 和 地 点 获得 软件 作品 的 权利 。 

(8) 出 租 权 。 即 有 偿 许 可 他 人 临时 使 用 计算 机 软件 的 复制 件 的 权利 ， 但 是 ， 计 算 机 
软件 不 是 出 租 的 主要 标的 的 除外 。 

C9) 使 用 许可 权 和 获得 报酬 权 。 即 许可 他 人 以 上 述 方式 使 用 软件 作品 的 权利 (许可 
他 人 行使 软件 著作 权 中 的 财产 权 ) 和 依照 约定 或 者 法 律 有 关 规 定 获得 报酬 的 权利 。 

(10) 转让 权 。 即 向 他 人 转让 软件 的 使 用 权 和 使 用 许可 权 的 权利 。 软 件 著作 权 人 可 
以 全 部 或 者 部 分 转让 软件 著作 权 中 的 财产 权 。 

3. 软件 合法 持 有 人 的 权利 

根据 《计算 机 软件 保护 条 例 》 的 规定 ， 软 件 的 合法 复制 品 所 有 人 享有 下 述 权利 。 

(1) 根据 使 用 的 需要 把 软件 装 入 计算 机 等 具有 信息 的 装置 内 。 

(2) 根据 使 用 的 需要 而 进行 必要 的 复制 。 

(3) 为 了 防止 复制 品 损坏 而 制作 备份 复制 品 ， 这 些 复制 品 不 得 通过 任何 方式 提供 给 
他 人 使 用 ， 并 在 所 有 人 丧失 该 合法 复制 品 所 有 权时 ， 负 责 将 备份 复制 品 销毁 。 

(4) 为 了 把 该 软件 用 于 实际 的 计算 机 应 用 环境 或 者 改进 其 功能 性 能 而 进行 必要 的 修 
改 。 但 是 ， 除 合同 约定 外 ， 未 经 该 软件 著作 权 人 许可 ， 不 得 向 任何 第 三 方 提供 修改 后 的 
软件 。 


5.2.5 ”计算 机 软件 著作 权 的 行使 


1. 软件 经 济 权利 的 许可 使 用 

软件 经 济 权利 的 许可 使 用 是 指 软件 著作 权 人 或 权利 合法 受 让 者 ， 通 过 合同 方式 许可 
他 人 使 用 其 软件 并 获得 报酬 的 一 种 软件 贸易 形式 。 许 可 使 用 的 方式 可 分 为 以 下 几 种 。 

(1) 独占 许可 使 用 : 权利 人 通过 书面 合同 授权 , 被 授权 方 可 以 根据 合同 规定 的 方式 、 
条 件 、 时 间 确 定 独 占 性 ， 权 利 人 不 得 将 软件 使 用 权 授 予 第 三 方 ， 权 利 人 自己 不 能 使 用 该 
软件 。 

(2) 独家 许可 使 用 : 权利 人 通过 书面 合同 授权 , 被 授权 方 可 以 根据 合同 规定 的 方式 、 
条 件 、 时 间 确 定 独占 性 ， 权 利 人 不 得 将 软件 使 用 权 授予 第 三 方 ， 权 利 人 自己 可 以 使 用 该 
软件 。 
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(3) 普通 许可 使 用 : 权利 人 通过 书面 合同 授权 , 被 授权 方 可 以 根据 合同 规定 的 方式 、 
条 件 、 时 间 确 定 独占 性 ， 权 利 人 可 以 将 软件 使 用 权 授 予 第 三 方 ， 权 利 人 自己 可 以 使 用 该 
软件 。 

(4) 法 定 许可 使 用 和 强制 许可 使 用 : 在 法 律 特定 的 条 款 下 , 不 经 软件 著作 权 人 许可 ， 
使 用 其 软件 。 

2. 软件 经 济 权利 的 转让 使 用 

软件 经 济 权利 的 转让 使 用 是 指 软件 著作 权 人 将 其 享有 的 软件 著作 权 中 的 经 济 权 利 
全 部 转移 给 他 人 。 软 件 经 济 权 利 的 转让 将 改变 软件 权利 的 归属 ， 原 始 著作 权 人 的 主体 地 
位 随 着 转让 活动 的 发 生 而 丧失 ， 软 件 著作 权 受 让 者 成 为 新 的 著作 权 主 体 。 软 件 著作 权 转 
让 必须 签订 书面 合同 。 软件 转让 活动 不 能 改变 软件 的 保护 期 。 转让 方式 包括 出 卖 、 赠 与 、 
质押 和 赔偿 等 。 


5.2.6 ”计算 机 软件 著作 权 的 保护 期 


根据 《中 华人 民 共 和 国 著作 权 法 》 和 《计算 机 软件 保护 条 例 》 的 规定 ， 计 算 机 软件 
著作 权 的 权利 自 软 件 开发 完成 之 日 起 产生 ， 公 民 的 软件 著作 权 ， 保 护 期 为 公民 终生 及 其 
死亡 之 后 50 年 ;法 人 或 其 他 组 织 的 软件 著作 权 ， 保 护 期 为 50 年 。 保 护 期 满 ， 除 开发 者 
身份 权 以 外 ,其 他 权利 终止 。 一 旦 计算 机 软件 著作 权 超 出 保护 期 后 ,软件 进入 公有 领域 。 
计算 机 软件 著作 权 人 的 单位 终止 和 计算 机 软件 著作 权 人 的 公民 死亡 均 无 合法 继承 人 的 
除开 发 者 身份 权 以 外 ， 该 软件 的 其 他 权利 进入 公有 领域。 软件 进入 公有 领域 后 成 为 社会 
公共 财富 ， 公 众 可 无 偿 使 用 。 


5.2.7 计算 机 软件 著作 权 的 归属 


1. 职务 开发 软件 著作 权 的 归属 

职务 软件 作品 是 指 公 民 在 单位 任职 期 间 为 执行 本 单位 工作 任务 所 开发 的 计算 机 软 
件 作品 。 本 单位 工作 任务 的 含义 , 一 是 指 该 软件 系 为 其 本 职工 作 明确 指定 的 目标 而 开发 ; 
二 是 指 该 软件 的 开发 系 其 从 事 本 职工 作 完 成 工作 任务 能 够 预见 或 必然 的 结果 ， 或 者 主要 
使 用 了 单位 的 专用 设备 、 未 公开 的 专门 信息 等 物资 技术 条 件 所 开发 并 由 法 人 或 者 其 他 组 
织 承担 责任 的 软件 。 根 据 《计算 机 软件 保护 条 例 》 的 规定 ， 可 以 得 出 这 样 的 结论 : 当 公 
民 作为 某 单位 的 雇员 时 ， 如 其 开发 的 软件 属于 执行 本 职工 作 的 结果 ， 该 软件 著作 权 应 当 
归 单 位 享有 ; 所 开发 的 软件 如 不 是 执行 本 职工 作 的 结果 ， 其 著作 权 就 不 属 单位 享有 ; 如 
果 该 雇员 主要 使 用 了 单位 的 设备 ， 按 照 《 计 算 机 软件 保护 条 例 》 第 十 三 条 第 三 款 的 规定 ， 
其 著作 权 不 能 属于 该 雇员 个 人 享有 。 

对 于 公民 在 非 职务 期 间 创 作 的 计算 机 程序 ， 其 著作 权 是 属于 某 项 软件 作品 的 开发 单 
位 ， 还 是 从 事 直接 创作 开发 软件 作品 的 个 人 ， 可 按照 《计算 机 软件 保护 条 例 》 第 十 三 条 
规定 的 三 条 标准 确定 。 
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(1) 任何 受 雇 于 一 个 单位 的 人 员 ， 都 会 被 安排 一 定 的 工作 岗位 和 分 派 相应 的 工作 任 
务 。 其 完成 分 派 的 工作 任务 ， 就 是 执行 他 的 本 职工 作 。 本 职工 作 的 直接 成 果 也 就 是 其 工 
作 任务 的 不 断 完 成 。 当 然 ， 具体 工作 成 果 又 会 产生 许多 效益 , 产生 许多 范围 更 广 的 结果 。 
但 是 区 别 该 条 标准 应 当 是 指 雇员 本 职工 作 最 直接 的 成 果 。 所 开发 创作 的 软件 不 是 执行 本 
职工 作 的 结果 ， 这 也 是 构成 非 职务 计算 机 软件 著作 权 的 条 件 之 一 。 

(2) 如 果 该 雇员 在 单位 担任 软件 开发 工作 ， 引 起 争议 的 软件 作品 不 能 与 其 本 职工 作 
中 明确 指定 的 开发 目标 有 关 , 软件 作品 的 内 容 也 不 能 与 其 本 职工 作 所 开发 的 软件 的 功能 、 
逻辑 思维 和 重要 数据 有 关 。 雇 员 所 开发 的 软件 作品 与 其 本 职工 作 没有 直接 的 关系 是 构成 
非 职 务 计算 机 软件 著作 权 的 条 件 之 二 。 

(3) 开发 创作 软件 作品 所 使 用 的 物质 技术 条 件 ， 即 开发 软件 作品 所 必须 的 设备 、 数 
据 、 资 金 和 其 他 软件 开发 环境 。 没 有 使 用 受 雇 单位 的 任何 物质 技术 条 件 是 构成 非 职务 软 
件 著作 权 的 第 三 个 条 件 。 

雇员 进行 本 职工 作 以 外 的 软件 开发 创作 ， 必 须 同时 符合 上 述 三 个 条 件 ， 才 能 算是 非 
职务 软件 作品 ， 雇 员 个 人 才 享 有 软件 著作 权 。 常 有 软件 开发 符合 前 两 个 条 件 ， 但 使 用 了 
单位 的 技术 情报 资料 、 计 算 机 设备 等 物质 技术 条 件 的 情况 。 处 理 此 种 情况 较 好 的 方法 是 
对 该 软件 著作 权 的 归属 应 当 由 单位 和 雇员 双方 协商 确定 ， 如 对 于 公民 在 非 职 务 期 间 利用 
单位 物质 条 件 创作 的 与 单位 业务 范围 无 关 的 计算 机 程序 ,其 著作 权 属 于 创作 程序 的 作者 ， 
但 作者 许可 第 三 人 使 用 软件 时 ， 应 当 支 付 单位 合理 的 物质 条 件 使 用 费 ， 如 计算 机 机 时 费 
等 。 若 协商 不 能 解决 ， 只 能 按 上 述 三 条 标准 作出 界定 。 

2. 合作 开发 软件 著作 权 的 归属 

合作 开发 软件 是 指 两 个 或 两 个 以 上 公民 、 法 人 或 其 他 组 织 订立 协议 ， 共 同 参加 某 项 
计算 机 软件 的 开发 并 分 享 软件 著作 权 的 形式 。 

(1) 由 两 个 以 上 的 单位 、 公 民 共 同 开发 完成 的 软件 属于 合作 开发 的 软件 。 对 于 合作 
开发 的 软件 ， 其 著作 权 的 归属 一 般 是 由 各 合作 开发 者 共同 享有 。 但 如 果 有 软件 著作 权 的 
协议 ， 则 按照 协议 确定 软件 著作 权 的 归属 。 

(2) 对 于 合作 开发 的 软件 著作 权 无 书面 合同 或 者 合同 未 作 明确 约定 ， 合 作 开发 的 软 
件 可 以 分 割 使 用 的 ， 开 发 者 对 各 自 开 发 的 部 分 可 以 单独 享有 著作 权 ， 但 是 ， 行 使 著作 权 
时 ， 不 得 扩展 到 合作 开发 的 软件 整体 的 著作 权 。 合 作 开发 的 软件 不 能 分 割 使 用 的 ， 其 著 
作 权 由 合作 开发 者 共同 享有 ， 通 过 协商 一 致 行使 。 如 不 能 协商 一 致 ， 又 无 正当 理由 ， 任 
何 一 方 不 得 阻止 他 方 行使 除 转让 权 以 外 的 其 他 权利 ， 但 是 所 得 收益 应 合理 分 配给 所 有 合 
作 开 发 者 。 

(3) 合作 开发 者 对 于 软件 著作 权 中 的 转让 权 项 不 得 单独 行使 。 这 是 因为 转让 权 的 行 
使 将 涉及 软件 著作 权 权利 主体 的 改变 ， 所 以 合作 软件 的 开发 者 在 行使 转让 权时 ， 必 须 与 
各 合作 开发 者 协商 ， 在 征 得 同意 的 情况 下 方 能 行使 该 项 专 有 权利 。 
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3. 委托 开发 的 软件 著作 权 归 属 

委托 开发 软件 著作 权 关 系 的 建立 ， 一 般 由 委托 方 与 受 委托 方 订立 合同 而 成 立 。 委 托 
开发 软件 作品 关系 中 ， 委 托 方 的 责任 主要 是 提供 资金 、 设 备 等 物质 条 件 ， 并 不 直接 参与 
开发 软件 作品 的 创作 开发 活动 ， 受 托 方 的 主要 责任 是 根据 委托 合同 规定 的 目标 开发 出 符 
合 要 求 的 软件 。 委 托 开 发 软件 作品 系 根据 委托 方 的 要 求 ， 由 委托 方 与 受托 方 以 合同 确定 
的 权利 和 义务 的 关系 而 进行 开发 的 软件 。 因 此 ， 软 件 作品 著作 权 归 属 应 当 作 为 合同 的 重 
要 条 款 予以 明确 约定 。 对 于 在 委托 开发 软件 活动 中 ， 委 托 者 与 受 委托 者 没有 签订 书面 协 
议 ， 或 者 在 协议 中 未 对 软件 著作 权 归 属 作 出 明确 的 约定 ， 其 软件 著作 权 属 于 受 委托 者 ， 
即 属于 实际 完成 软件 的 开发 者 。 

4. 接受 任务 开发 的 软件 著作 权 归 属 

根据 社会 经 济 发 展 的 需要 ， 对 于 一 些 涉及 国家 基础 项 目 或 者 重点 设施 的 计算 机 软 
件 ， 往 往 采取 由 政府 有 关 部 门 或 上 级 单位 下 达 任 务 方式 ， 完 成 软件 的 开发 工作 。 对 于 下 
达 任 务 开发 的 软件 ， 其 著作 权 的 归属 关系 如 下 。 

(1) 下 达 任 务 开发 的 软件 著作 权 的 归属 关系 ， 首 先 应 以 项 目 任务 书 的 规定 或 者 双方 
的 合同 约定 为 准确 定 。 

(2) 下 达 任 务 的 项 目 任务 书 或 者 双方 订立 的 合同 中 未 对 软件 著作 权 归 属 作出 明确 的 
规定 或 者 约定 的 ， 其 软件 著作 权 属 于 接受 并 实际 完成 开发 软件 任务 的 单位 享有 。 

5. 计算 机 软件 著作 权 主 体 变 更 后 软件 著作 权 的 归属 

计算 机 软件 著作 权 的 主体 ， 因 一 定 的 法 律 事实 而 发 生变 更 ， 如 作为 软件 著作 权 人 的 
公民 的 死亡 ， 单 位 的 变更 ， 软 件 著作 权 的 转让 以 及 人 民法 院 对 软件 著作 权 的 归属 作出 裁 
判 等 。 软 件 著作 权 主 体 的 变更 必然 引起 软件 著作 权 归 属 的 变化 ， 对 此 ，《 计 算 机 软件 保 
护 条 例 》 作 了 一 些 规定 。 因 计算 机 软件 主体 变更 引起 的 权 属 变化 有 以 下 几 种 。 

(1) 软件 著作 权 的 合法 继承 人 依法 享有 继承 被 继承 人 享有 的 软件 著作 权 的 使 用 权 、 
使 用 许可 权 和 获得 报酬 权 等 权利 。 继 承 权 的 取得 、 继 承 顺 序 等 均 按照 《中 华人 民 共 和 国 
继承 法 》 的 规定 进行 。 

(2) 作为 软件 著作 权 人 的 单位 发 生变 更 〈 如 单位 的 合并 、 破 产 等 ) ， 而 其 享有 的 软 
件 著作 权 仍 处 在 法 定 的 保护 期 限 内 ， 可 以 由 合法 的 权利 承受 单位 享有 原始 著作 权 人 所 享 
有 的 各 项 权利 。 依 法 承受 软件 著作 权 的 单位 成 为 该 软件 的 后 续 著作 权 人 ， 可 在 法 定 的 条 
件 下 行使 所 承受 的 各 项 专 有 权利 。 一 般 认 为 ,“ 各 项 权利 "包括 署名 权 等 著作 人 身 权 在 内 
的 全 部 权利 。 

6. 权利 转让 后 软件 著作 权 的 归属 

计算 机 软件 著作 财产 权 发 生 转 让 后 ， 必 然 引 起 著作 权 主 体 的 变化 ， 产 生 新 的 软件 著 
作 权 归属 关系 。 软 件 权 利 的 受 让 者 可 依法 行使 其 享有 的 权利 。 

7. 司法 判决 、 裁 定 引 起 的 软件 著作 权 归 属 问题 

计算 机 软件 著作 权 是 公民 、 法 人 和 其 他 组 织 享 有 的 一 项 重要 的 民事 权利 。 当 发 生 争 
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议和 纠纷 后 由 人 民法 院 的 民事 判决 、 裁 定 而 产生 软件 著作 权 主 体 的 变更 ， 引 起 软件 著作 
权 归 属 问题 。 因 司法 裁判 引起 软件 著作 权 的 归属 问题 主要 有 如 下 4 类 。 

(1) 由 人 民法 院 对 著作 权 属 纠纷 中 权利 的 最 终归 属 作出 司法 裁判 ， 从 而 变更 了 计算 
机 软件 著作 权 原 有 归属 。 

(2) 计算 机 软件 的 著作 权 人 为 民事 法 律 关系 中 的 债务 人 〔 债 务 形成 的 原因 可 能 多 种 
多 样 ， 如 合同 关系 或 者 损害 赔偿 关系 等 ) ， 人 民法 院 将 其 软件 著作 财产 权 判 归 债权 人 享 
有 抵债 。 

(3) 人 民法 院 作 出 民事 判决 判 令 软 件 著作 权 人 履行 民事 给 付 义务 ， 在 判决 生效 后 执 
行程 序 中 ， 其 无 其 他 财产 可 供 执行 ， 将 软件 著作 财产 权 执行 给 对 方 折 抵 债务 。 

(4) 根据 《中 华人 民 共 和 国 破产 法 》 的 规定 ， 软 件 著作 权 人 被 破产 还 债 ， 软 件 著作 
财产 权 为 法 律 规定 的 破产 财产 构成 的 “其 他 财产 权利 ”， 作 为 破产 财产 由 人 民法 院 判决 
分 配 。 

8 保护 期 限 届满 权利 丧失 

软件 著作 权 的 法 定 保护 期 限 可 以 确定 计算 机 软件 的 主体 能 否 依法 变更 。 如 果 软 件 著 
作 权 已 过 保护 期 ， 该 软件 进入 公有 和 领域 ， 便 丧失 了 专 有 权 ， 也 就 没有 必要 改变 权利 主 
体 了 。 


5.2.8 ”计算 机 软件 著作 权 侵权 的 鉴别 


侵犯 计算 机 软件 著作 权 的 违法 行为 的 鉴别 ， 主 要 依靠 保护 知识 产权 的 相关 法 律 来 判 
断 。 违 反 《 中 华人 民 共 和 国 著作 权 法 》、《 计 算 机 软件 保护 条 例 》 等 法 律 禁止 的 行为 ， 
便 是 侵犯 计算 机 著作 权 的 违法 行为 ， 这 是 鉴别 违法 行为 的 本 质 原则 。 对 于 法 律 规定 不 禁 
止 ， 也 不 违反 相关 法 律 基本 原则 的 行为 ， 不 认为 是 违法 行为 。 在 法 律 无 明文 具体 条 款 规 
定 的 情况 下 ， 违 背 《 中 华人 民 共 和 国 著 作 权 法 》 和 《计算 机 软件 保护 条 例 》 等 法 律 的 基 
本 原则 ， 以 及 社会 主义 公共 生活 准则 和 社会 善良 风俗 的 行为 ， 也 应 该 视 为 违法 行为 。 凡 
是 行为 人 主观 上 具有 故意 或 者 过 失 对 《中 华人 民 共 和 国 著作 权 法 》 和 《计算 机 软件 保护 
条 例 》 保 护 的 计算 机 软件 人 身 权 和 财产 权 实施 侵害 行为 的 ， 都 构成 计算 机 软件 的 侵权 行 
为 。《 计 算 机 软件 保护 条 例 》 第 二 十 三 条 规定 的 侵犯 计算 机 软件 著作 权 的 情况 ， 是 认定 
软件 著作 权 侵权 行为 的 法 律 依据 。 计 算 机 软件 侵权 行为 主要 有 : 

(1) 未 经 软件 著作 权 人 的 同意 而 发 表 或 者 登记 其 软件 作品 。 

(2) 将 他 人 开发 的 软件 当 作 自己 的 作品 发 表 或 者 登记 。 

(3) 未 经 合作 者 同意 将 与 他 人 合作 开发 的 软件 当 作 自 己 独立 完成 的 作品 发 表 或 者 
登记 。 

(4) 在 他 人 开发 的 软件 上 署名 或 者 更 改 他 人 开发 的 软件 上 的 署名 。 

(5) 未 经 软件 著作 权 人 或 者 其 合法 受 让 者 的 许可 ， 修 改 、 翻 译 其 软件 作品 。 

(6) 未 经 软件 著作 权 人 或 其 合法 受 让 者 的 许可 ， 复 制 或 部 分 复制 其 软件 作品 。 
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(7) 未 经 软件 著作 权 人 及 其 合法 受 让 者 同意 ， 向 公众 发 行 、 出 租 其 软件 的 复制 品 。 

(8) 未 经 软件 著作 权 人 或 其 合法 受 让 者 同意 ， 向 任何 第 三 方 办 理 软件 权利 许可 或 转 
让 事宜 。 

(9) 未 经 软件 著作 权 人 及 其 合法 受 让 者 同意 ， 通 过 信息 网 络 传播 著作 权 人 的 软件 。 


5.2.9 不 构成 计算 机 软件 侵权 的 合理 使 用 行为 


获得 使 用 权 或 使 用 许可 权 〈 视 合同 条 款 ) 后 ， 可 以 对 软件 进行 复制 而 无 需 通知 著作 
权 人 ， 也 不 构成 侵权 。 区 分 合理 使 用 与 非 合理 使 用 的 判别 标准 一 般 如 下 。 

(1) 软件 作品 是 否 合法 取得 (这 是 合理 使 用 的 基础 )。 

(2) 使 用 的 目的 是 非 商业 营业 性 的 ， 如 果 使 用 的 目的 是 为 商业 性 营利 ， 就 不 属 合理 
使 用 的 范围 。 

(3) 合理 使 用 一 般 为 少量 的 使 用 ， 所 谓 少 量 的 界限 ， 是 根据 其 使 用 的 目的 以 行业 惯 
例 和 人 们 一 般 常 识 所 综合 确定 。 超 过 通常 被 认为 的 少量 界限 , 即 可 被 认为 不 属 合理 使 用 。 


S.2.10 ”计算 机 软件 若 作 权 侵权 的 法 律 责任 


当 侵 权 人 侵害 他 人 的 软件 著作 财产 权 或 软件 著作 人 身 权 ， 造 成 权利 人 财产 上 的 或 非 
财产 的 损失 ， 侵 权 人 不 履行 赔偿 义务 ， 法 律 即 强制 侵权 人 承担 赔偿 损失 的 民事 责任 。 

1. 民事 责任 

侵犯 著作 权 或 者 与 著作 权 有 关 的 权利 的 ， 侵 权 人 应 当 按照 权利 人 的 实际 损失 给 予 赔 
偿 ; 实际 损失 难以 计算 的 ， 可 以 按照 侵权 人 的 违法 所 得 给 予 赔偿 。 赔 偿 数额 还 应 当 包括 
权利 人 为 制止 侵权 行为 所 支付 的 合理 开支 。 权 利 人 的 实际 损失 或 侵权 人 的 违法 所 得 不 能 
确定 的 ， 由 人 民法 院 根据 侵权 行为 的 情节 ， 判 决 给 予 50 万 元 以 下 的 赔偿 。 有 下 列 侵权 行 
为 的 ， 应 当 根 据 情 况 ， 承 担 停止 侵害 、 消 除 影响 、 公 开 赔 礼 道歉 和 赔偿 损失 等 民事 责任 。 

(1) 未 经 软件 著作 权 人 许可 发 表 或 者 登记 其 软件 的 。 

(2) 将 他 人 软件 当 作 自 己 的 软件 发 表 或 者 登记 的 。 

(3) 未 经 合作 者 许可 , 将 合作 开发 的 软件 当 作 自己 单独 完成 的 作品 发 表 或 者 登记 的 。 

(4) 在 他 人 软件 上 署名 或 者 涂改 他 人 软件 上 的 署名 的 。 

(5) 未 经 软件 著作 权 人 许可 ， 修 改 、 翻 译 其 软件 的 。 

(6) 其 他 侵犯 软件 著作 权 的 行为 。 

2. 行政 责任 

对 侵犯 软件 著作 权 的 行为 ， 著 作 权 行政 管理 部 门 应 当 责令 停止 违法 行为 ， 没 收 非 法 
所 得 ， 没 收 、 销 毁 侵 权 复 制品 ， 并 可 处 以 每 件 100 元 或 者 货 值 金额 2 一 5 倍 的 罚款 。 有 下 
列 侵权 行为 的 ， 应 当 根 据 情况 ， 承 担 停止 侵害 、 消 除 影响 、 公 开 赔 礼 道 歉 和 赔偿 损失 等 
行政 责任 。 

(1) 复制 或 者 部 分 复制 著作 权 人 软件 的 。 
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(2) 向 公众 发 行 、 出 租 、 通 过 信息 网 络 传播 著作 权 人 软件 的 。 

(3) 故意 避 开 或 者 破坏 著作 权 人 为 保护 其 软件 而 采取 的 技术 措施 的 。 

(4) 故意 删除 或 者 改变 软件 权利 管理 电子 信息 的 。 

(5) 许可 他 人 行使 或 者 转让 著作 权 人 的 软件 著作 权 的 。 

3. 刑事 责任 

侵权 行为 触犯 刑律 的 ， 侵 权 者 应 当 承 担 刑事 责任 。《 中 华人 民 共 和 国 刑法 》 第 二 百 
一 十 七 条 、 二 百 一 十 八条 和 二 百 二 十 条 规定 ,构成 侵犯 著作 权 罪 、 销 售 侵 权 复 制品 罪 的 ， 
由 司法 机 关 追 究 其 刑事 责任 。 


5.2.11 计算 机 软件 的 商业 秘密 权 


1. 商业 秘密 的 概念 

《中 华人 民 共和 国 反 不 正当 竞争 法 》 中 将 商业 秘密 定义 为 “不 为 公众 所 知悉 的 、 能 
为 权利 人 带 来 经 济 利益 、 具 有 实用 性 并 经 权利 人 采取 保密 措施 的 技术 信息 和 经 营 信 息 ”。 
经 营 秘密 和 技术 秘密 是 商业 秘密 的 基本 内 容 。 经 营 秘密 ， 即 未 公开 的 经 营 信 息 ， 是 指 与 
生产 经 营销 售 活动 有 关 的 经 营 方法 、 管 理 方法 、 产 销 策略 、 货 源 情报 、 客 户 名 单 、 标 底 
和 标书 内 容 等 专 有 知识 。 技 术 秘密 ， 即 未 公开 的 技术 信息 ， 是 指 与 产品 生产 和 制造 有 关 
的 技术 诀 穿 、 生 产 方案 、 工 艺 流程 、 设 计 图 纸 、 化 学 配方 和 技术 情报 等 专 有 知识 。 

商业 秘密 的 构成 条 件 是 : 必须 具有 未 公开 性 ， 即 不 为 公众 所 知悉 ; 必须 具有 实用 性 ， 
即 能 为 权利 人 带 来 经 济 效益 ， 必 须 具 有 保密 性 ， 即 采取 了 保密 措施 。 

商业 秘密 是 一 种 无 形 的 信息 财产 。 商 业 秘密 的 权利 人 与 有 形 财产 所 有 权 人 一 样 ， 依 
法 享有 占有 、 使 用 和 收益 的 权利 ， 即 有 权 对 商业 秘密 进行 控制 与 管理 ， 防 止 他 人 采取 不 
正当 手段 获取 与 使 用 ， 有 权 依 法 使 用 自己 的 商业 秘密 ， 而 不 受 他 人 干涉 ; 有 权 通 过 自己 
使 用 或 者 许可 他 人 使 用 以 至 转让 所 有 权 ， 从 而 取得 相应 的 经 济 利益 ， 有 权 处 分 自己 的 商 
业 秘 密 ， 包 括 放弃 占有 、 无 偿 公 开 、 赠 与 或 转让 等 。 

一 项 商业 秘密 受到 法 律 保 护 的 依据 ， 是 必须 具备 上 述 构成 商业 秘密 的 三 个 条 件 ， 缺 
少 上 述 三 个 条 件 之 一 都 会 造成 商业 秘密 丧失 保护 。 

《中 华人 民 共和 国 反 不 正当 竞争 法 》 保 护 计 算 机 软件 ， 是 以 计算 机 软件 中 是 否 包 含 
着 “商业 秘密 ”为 必要 条 件 的 。 而 计算 机 软件 是 人 类 知识 、 智 慧 、 经 验 和 创造 性 劳动 的 
成 果 ， 本 身 就 具有 商业 秘密 的 特征 ， 即 包含 着 技术 秘密 和 经 营 秘密 。 即 使 是 软件 尚未 开 
发 完成 ， 在 软件 开发 中 所 形成 的 知识 内 容 也 可 构成 商业 秘密 。 

2. 计算 机 软件 商业 秘密 的 侵权 

侵犯 商业 秘密 是 指 行为 人 《〈《 负 有 约定 的 保密 义务 的 合同 当事人 ， 实 施 侵权 行为 的 第 
三 人 ， 侵 犯 本 单位 商业 秘密 的 行为 人 ) 未 经 权利 人 《商业 秘密 的 合法 控制 人 ) 的 许可 ， 
以 非法 手段 〈 包 括 直接 从 权利 人 那里 窃取 商业 秘密 并 加 以 公开 或 使 用 ， 通 过 第 三 人 窃取 
权利 人 的 商业 秘密 并 加 以 公开 或 使 用 ) 获取 计算 机 软件 商业 秘密 并 加 以 公开 或 使 用 的 行 
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为 。 根 据 我 国 《中 华人 民 共 和 国 反 不 正当 竞争 法 》 第 十 条 的 规定 ， 侵 犯 计算 机 软件 商业 
秘密 的 具体 表现 形式 主要 如 下 。 

(1) 用 盗窃 、 利 诱 、 胁 迫 或 其 他 不 正当 手段 获取 权利 人 的 计算 机 软件 商业 秘密 。 盗 
窃 商 业 秘密 ， 包 括 单位 内 部 人 员 、 外 部 人 员 和 内 外 勾结 等 盗窃 手段 ， 以 利诱 手段 获取 商 
业 秘 密 ， 通 常 指 行为 人 向 掌握 商业 秘密 的 人 员 提 供 财物 或 其 他 优惠 条 件 ， 诱 使 其 向 行为 
人 提供 商业 秘密 ;以 胁迫 手段 获取 商业 秘密 ， 是 指 行为 人 采取 威胁 、 强 人 迫 手段 ， 使 他 人 
在 受 强制 的 情况 下 提供 商业 秘密 ; 以 及 用 其 他 不 正当 手段 获取 商业 秘密 。 

(2) 披露 、 使 用 或 允许 他 人 使 用 以 不 正当 手段 获取 权利 人 的 计算 机 软件 商业 秘密 。 
披露 是 指 将 权利 人 的 商业 秘密 向 第 三 人 透露 或 向 不 特定 的 其 他 人 公开 ， 使 其 失去 秘密 价 
值 ;， 使 用 或 允许 他 人 使 用 是 指 非法 使 用 他 人 商业 秘密 的 具体 情形 。 如 果 以 非法 手段 获取 
商业 秘密 的 行为 人 将 该 秘密 再 行 披露 或 使 用 ， 即 构成 双重 的 侵权 ; 倘若 第 三 人 从 侵权 人 
那里 获悉 了 商业 秘密 而 将 秘密 披露 或 使 用 ， 同 样 构成 侵权 。 

(3) 违反 约定 或 违反 权利 人 有 关 保守 商业 秘密 的 要 求 ， 披 露 、 使 用 或 允许 他 人 使 用 
其 所 掌握 的 计算 机 软件 商业 秘密 。 合 法 掌握 计算 机 软件 商业 秘密 的 人 ， 可 能 是 与 权利 人 
有 合同 关系 的 对 方 当事人 ， 也 可 能 是 权利 人 的 单位 工作 人 员 或 其 他 知情 人 ， 他 们 违反 合 
同 约定 或 单位 规定 的 保密 义务 ， 将 其 所 掌握 的 商业 秘密 擅自 公开 ， 或 自己 使 用 ， 或 许可 
他 人 使 用 ， 即 构成 侵犯 商业 秘密 。 

3. 计算 机 软件 商业 秘密 侵权 的 法 律 责任 

根据 《中 华人 民 共 和 国 反 不 正当 竞争 法 》 和 《和 刑法》 的 规定 ， 计 算 机 软件 商业 秘密 
的 侵权 者 将 承担 行政 责任 、 民 事 责 任 以 及 刑事 责任 。 

(1) 《中华 人民 共和 国 反 不 正当 竞争 法 》 第 二 十 五 条 规定 了 相应 的 行政 责任 ， 即 对 
侵犯 商业 秘密 的 行为 ， 监 督 检查 部 门 应 当 责 令 停 止 违法 行为 ， 而 后 可 以 根据 侵权 的 情节 
依法 处 以 1 万 元 以 上 20 万 元 以 下 的 罚款 。 

(2) 计算 机 软件 商业 秘密 的 侵权 者 的 侵权 行为 对 权利 人 的 经 营造 成 经 济 上 的 损失 
时 ， 侵 权 者 应 当 承 担 经 济 损害 赔偿 的 民事 责任 。《 中 华人 民 共 和 国 反 不 正当 竞争 法 》 第 
二 十 条 规定 了 侵犯 商业 秘密 的 民事 责任 ， 即 经 营 者 违反 该 法 规定 ， 给 被 侵害 的 经 营 者 造 
成 损害 的 ， 应 当 承 担 损害 赔偿 责任 ; 被 侵害 的 经 营 者 的 合法 权益 受到 损害 的 ， 可 以 向 人 
民法 院 提起 诉讼 。 

(3) 计算 机 软件 商业 秘密 的 侵权 者 的 侵权 行为 对 权利 人 造成 重大 损害 的 ， 侵 权 者 应 
当 承 担 刑事 责任 。《 刑 法 》 第 二 百 一 十 九条 规定 了 侵犯 商业 秘密 罪 ， 即 实施 侵犯 商业 秘 
密 行为 ， 给 商业 秘密 的 权利 人 造成 重大 损失 的 ， 处 三 年 以 下 有 期 徒刑 或 者 拘役 ， 并 处 或 
者 单 处 罚金 ， 造成 特别 严重 后 果 的 ， 处 三 年 以 上 七 年 以 下 有 期 徒刑 ， 并 处 罚金 。 
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网 络 规划 师 要 求 考生 深入 掌握 网 络 系统 所 涉及 的 各 种 理论 、 技 术 以 及 网 络 系统 设计 
方案 和 步骤 。 本 部 分 的 试题 将 给 出 若干 方面 的 案例 ， 参 考 人 员 应 根据 要 求 ， 完 成 相应 的 
网 络 规划 、 网 络 优化 、 网 络 配置 和 网 络 排 错 工 作 。 本 章 将 围绕 这 4 个 方面 给 出 一 些 案例 
进行 分 析 和 讲解 。 


6.1 网 络 规划 案例 


6.1.1 案例 1 


某 学 校 在 原 校 园 网 的 基础 上 进行 网 络 改造 ， 网 络 方案 如 图 6-1 所 示 。 其 中 ， 网 管 中 
心 位 于 办 公 楼 第 三 层 ， 采 用 动态 及 静态 结合 的 方式 进行 PP 地 址 的 管理 和 分 配 。 


| 了 了 
| 办 公 楼 ER (7) 1 
NE 服务 器 组 了 ge 1 

! 网 管 中 心 1 交换 机 1 
| | 1 过 1 
| Ja | 

1 (Internet 1) 2) + 由 和 
We Lg 

| 2 | | 
1 | 区域 A 1 | gm 
可 忆 | | — | 
| | | Cy (8) (9) | 1 | 
用 户 管理 器 | | | 

| | 服务 器 | | | 
| 人 1 
le ts a J 

于 | We 

| | 
图 书馆 实 训 楼 ] 

| [ow 1 G) | 和 

| 1 | 《 原 校园 网 

| 1 1 | 

| sss Ilsemeb. ed | 

1 楼 导 1 | 楼 层 | 

[交换 机 | [交换 机 | 


6-1 某 校园 网 络 改造 方案 
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【问题 1】 

设备 选 型 是 网 络 方案 规划 设计 的 一 个 重要 方面 ， 请 用 200 字 以 内 文字 简要 叙述 设备 
选 型 的 基本 原则 。 

【问题 2】 

从 表 6-1 中 为 图 6-1 中 〈1) 一 〈5) 处 选择 合适 设备 ， 将 设备 名 称 写 在 答题 纸 的 相 
应 位 置 〈 每 一 设备 限 选 一 次 )。 


设备 名 称 | 数量 
Routerl 1 


Switch1 


表 6-1 设备 表 


设备 类 型 
路 由 器 


性 能 描述 
模块 化 接 入 , 固定 的 广域网 接口 + 可 选 广域网 接口 , 固定 的 局 域 网 接口 
为 100/1000Base-T/TX 

交换 容量 : 1.2TB， 转 发 性 能 : 285Mpps， 可 支持 接口 类 型 100/ 
1000Base-T、GE、10GE， 电 源 元 余 : 1+1 

交换 容量 : 140GB， 转 发 性 能 ;100Mpps， 可 支持 接口 类 型 GE， 电 源 
元 余 : 无 ，20 百 / 千 兆 自 适应 电 口 

交换 容量 : 100GB， 转 发 性 能 :66Mpps， 可 支持 接口 类 型 : FE、GE， 
电源 元 余 : 无 ，24 千 兆 光 口 


交换 机 | Switch2 1 


Switch3 2 


【问题 3】 

为 图 6-1 中 (6) 一 〈9) 处 选择 介质 ， 填 写 在 答题 纸 的 相应 位 置 。 

备 选 介质 〈 每 种 介质 限 选 一 次 ): 

千 兆 双 绞 线 百 兆 双 绞 线 双 千 兆 光纤 链 路 千 兆 光纤 

【问题 4】 

请 用 200 字 以 内 文字 简要 叙述 针对 不 同 用 户 分 别 进行 动态 和 静态 IP 地 址 配置 的 优 
点 ， 并 说 明 图 中 的 服务 器 以 及 用 户 采 用 哪 种 方式 进行 IP 地 址 配置 。 


JP 地 址 配置 方式 
邮件 服务 器 (1) 
网 管 PC (2) 
学 生 PC (3) 


【问题 5】 
通常 有 恶意 用 户 采用 地 址 假冒 方式 进行 盗用 卫 地 址 , 可 以 采用 什么 策略 来 防止 静态 
IP 地 址 的 盗用 ? 


【问题 6】 
(1) 图 6-1 中 区 域 A 是 什么 区 ? 〈 请 从 以 下 选项 中 选择 ) 
A. 服务 区 B.DMZ 区 C. 堡垒 主机 D. 安全 区 


(2) 学 校 网 络 中 的 设备 或 系统 有 存储 学 校 机 密 数据 的 服务 器 、 邮 件 服务 器 、 存 储 资 
源 代码 的 PC、 应 用 网 关 、 存 储 私人 信息 的 PC 和 电子 商务 系统 等 ， 这 些 设备 哪些 应 放 在 
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区 域 A 中 ， 哪 些 应 放 在 内 网 中 ? 请 简要 说 明 。 
1. 案例 分 析 
(1) 本 案例 问题 1 主要 是 考查 网 络 设备 选 型 方面 的 知识 。 一 般 而 言 ， 在 选择 网 络 设 
备 时 应 当 遵 循 以 下 原则 。 
。 可 靠 性 : 由 于 升级 的 往往 是 核心 和 上 骨干 网 络 ， 其 重要 性 不 言 而 喻 ， 一旦 瘫痪 则 影 
响 巨 大 。 因 此 ， 必 须 将 可 靠 性 放 在 第 一 位 ， 无 论 是 品牌 的 选择 还 是 设备 的 配置 ， 
都 将 可 靠 性 作为 第 一 考虑 因素 。 
。 性 能 :作为 骨干 网 络 节 点 ， 中 心 交换 机 、 会 聚 交换 机 必须 能 够 提供 完全 无 阻塞 的 
多 层 交 换 性 能 ， 以 保证 业务 的 顺畅 。 
。 可 管理 性 ， 一 个 中 大 型 网 络 可 管理 程度 的 高 低 直 接 影响 着 运行 成 本 和 业务 质量 。 
因此 ， 所 有 的 节点 都 应 是 可 网 管 的， 而 且 需 要 有 一 个 强 有 力 且 简洁 的 网 络 管理 系 
统 ， 能 够 对 网 络 的 业务 流量 、 运 行 状况 等 进行 全 方位 的 监控 和 管理 。 
。 灵活 性 和 可 扩展 性 : 由 于 校园 网 络 结构 复杂 ， 需 要 交换 机 能 够 接续 全 系列 接口 ， 
例如 光 口 和 电 口 、 百 兆 、 千 兆 和 万 兆 端口 ， 以 及 多 模 光 纤 接 口 和 长 距离 的 单 模 光 
纤 接口 等 。 其 交换 结构 也 应 能 根据 网 络 的 扩容 灵活 地 扩大 容量 。 其 软件 应 具有 独 
立 知识 产权 ， 应 保证 其 后 续 研 发 和 升级 以 保证 对 未 来 新 业务 的 支持 。 
。 安全 性 : 随 着 网 络 的 普及 和 发 展 ， 各 种 各 样 的 攻击 也 在 威胁 着 网 络 的 安全 。 不 仅 
仅 是 接 入 交换 机 , 骨干 层次 的 交换 机 也 应 考虑 到 安全 防范 的 问题 , 例如 访问 控制 、 
带宽 控制 等 ， 从 而 有 效 控制 不 良 业务 对 整个 骨干 网 络 的 侵害 。 
QoS 控制 能 力 : 随 着 网 络 上 多 媒体 业务 流 〈 语 音 、 视 频 等 ) 越 来 越 多 ， 对 核心 交 
换 节 点 提出 了 更 高 的 要 求 ， 不 仅 要 能 进行 一 般 的 线 速 交换 ， 还 要 能 根据 不 同业 务 
流 的 特点 ， 对 它们 的 优先 级 和 带宽 进行 有 效 的 控制 ， 从 而 保证 重要 业务 和 时 间 敏 
感 业务 的 顺畅 。 
标准 性 和 开放 性 : 由 于 网 络 往往 是 一 个 具有 多 种 厂商 设备 的 环境 ， 因 此 ， 所 选择 
的 设备 必须 能 够 支持 业界 通用 的 开放 标准 和 协议 ， 以 便 能 够 和 其 他 厂商 的 设备 有 
效 地 互通 。 
。 性 价 比 : 在 满足 网 络 需 求 和 网 络 应 用 的 基础 上 ， 还 应 当 充 分 考虑 设备 的 性 价 比 ， 
以 达到 最 大 的 投资 回报 率 。 
(2) 问题 2 要 求 考生 掌握 网 络 方案 设计 中 设备 部 署 的 相关 知识 ， 从 表 6-1 中 关于 路 
由 器 设备 的 性 能 描述 “固定 的 广域网 接口 + 可 选 广域网 接口 ”可 知 ， 图 6-1 中 空 (1) 处 
的 网 络 设备 应 选择 路 由 器 (Routerl)。 通 过 Routerl 的 广域网 接口 连接 到 Intemet。 根 据 
交换 容量 、 包 转发 能 力 、 可 支持 接口 类 型 和 电源 宛 余 模块 等 方面 对 比 表 6-1 中 交换 机 设 
备 Switch1、Switch2、Switch3 可 知 ， 设 备 Switchl 的 性 能 和 可 靠 性 最 好 ， 设 备 Switch2 
的 性 能 次 之 , 设备 Switch3 的 性 能 稍 差 一 些 。 仔细 分 析 该 校园 网 的 拓扑 结构 ,可 知 空 (2) 
处 的 网 络 设备 是 校园 网 的 核心 层 ， 它 必须 提供 稳定 可 靠 的 高 速 交换 ， 并 且 能 够 连接 各 种 
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接口 类 型 ， 因 此 空 2) 处 的 设备 应 为 Switch1。 

空 (3) 处 的 网 络 设备 至 少 需要 提供 一 个 百 兆 / 千 兆 电 口 用 于 连接 至 防火 墙 的 DMZ 
接口 , 若干 个 快速 以 太 网 电 口 或 光 口 用 于 连接 服务 器 组 、 用户 管 理 器 和 网 络 管理 工作 站 。 
表 6-1 中 关于 交换 机 设备 Switch2 的 性 能 描述 “可 支持 接口 类 型 : GE，20 百 / 千 兆 自 适 
应 电 口 ”信息 可 满足 以 上 网 络 连接 要 求 , 因此 空 (3) 处 的 网 络 设备 应 选择 交换 机 Switch2 。 

从 空 (4) 和 空 (5) 的 位 置 可 知 ， 该 设备 位 于 汇聚 层 。 考 虑 到 综合 布线 系统 中 各 大 
楼 建筑 物 之 间 通 常 采用 光纤 作为 传输 介质 ， 结 合 表 6-1 中 关于 交换 机 设备 Switch3 的 性 
能 描述 “可 支持 接口 类 型 FE、GE，24 千 兆 光 口 ”信息 可 知 ， 空 〈4) 和 空 〈5) 处 的 
网 络 设备 应 选择 交换 机 Switch3 。 

(3) 问题 3 要 求 考生 掌握 网 络 方案 设计 中 传输 介质 选择 的 相关 知识 。 

由 IEEE 802.3ad 工作 组 制定 的 链 路 聚合 (Port Trunking) 技术 ， 支 持 IEEE 802.3 协 
议 ， 是 一 种 用 来 在 两 台 核 心 交换 机 之 间 扩 大 通信 吞吐 量 、 提 高 可 靠 性 的 技术 。 该 技术 可 
使 交换 机 之 间 连 接 最 多 4 条 负载 均衡 的 元 余 连接 。 核 心 交换 机 之 间 采 用 双 千 兆 光 纤 结构 ， 
可 以 保证 在 任何 时 刻 任意 一 条 链 路 出 现 故 障 时 ,在 极 短 时 间 内 自动 切换 到 另 一 条 链 路 上 ， 
从 而 排除 单 点 故障 。 在 图 6-1 拓扑 结构 中 ， 新 的 核心 层 交换 机 与 原 校园 网 的 连接 介质 应 
该 采用 双 千 兆 光 纤 链 路 以 提高 可 靠 性 。 

结合 工程 经 验 可 知 ， 在 层次 化 网 络 方案 设计 时 ， 综 合 考虑 到 网 络 应 用 涉及 到 数据 、 
音频 、 视 频传 输 ， 为 保证 传输 带宽 和 质量 ， 核 心 层 交换 机 与 各 楼 层 交 换 机 的 连接 介质 一 
般 应 采用 千 兆 光纤 ， 即 空 7) 处 的 传输 介质 可 选择 “ 千 兆 光纤 ” 

根据 上 面 的 分 析 可 知 ， 空 〈3) 处 的 交换 机 Switch2 可 支持 千 兆 以 太 网 (GE) 接口 
类 型 ， 且 有 20 个 百 兆 / 千 兆 自 适 应 电 口 。 综 合 考虑 到 与 Switch2 交换 机 相连 接 的 服务 器 
组 要 求 较 高 的 通信 性 能 ， 因 此 空 《8) 处 的 传输 介质 可 选择 “ 千 兆 双 绞 线 ” 空 (9) 处 的 
传输 介质 用 于 连接 网 管 工作 站 ， 一 般 与 交换 机 设备 距离 不 会 超过 100m， 并 且 对 传输 速 
率 和 服务 质量 没有 太 高 要 求 ， 因 此 空 〈9) 处 的 传输 介质 可 选择 “ 百 兆 双 绞 线 ” 

(4) 本 问题 比较 简单 ， 一 方面 是 考查 静态 IP 地 址 和 动态 PP 地 址 的 区 别 ， 另 一 方面 
是 考查 哪些 设备 应 配置 静态 IP 地 址 ， 哪 些 设备 适宜 采用 动态 分 配 人 P 地 址 。 

采用 静态 IP 地 址 配置 方案 时 ， 每 个 用 户 都 有 自己 独立 且 固定 的 IP 地 址 。 通 常 企业 
网 或 校园 网 中 的 路 由 器 、 交 换 机 、 防 火 墙 、 各 种 应 用 服务 器 、 网 络 管理 工作 站 和 网 络 打 
印 机 等 应 采用 静态 PP 地 址 分 配 。 因 此 本 小 题 邮 件 服务 器 、 网 管 PC 需 采 用 静态 卫 地 址 。 

由 于 卫 地 址 资源 的 宝贵 性 ， 加 上 用 户 上 网 时 间 和 空间 的 离散 性 ， 采 用 动态 卫 地 址 
配置 方案 为 用 户 分 配 一 个 临时 的 人 P 地 址 ， 一 方面 可 避免 IP 地 址 资源 的 浪费 ， 另 一 方面 
对 用 户 透明 ,不 需要 在 每 台 用 户 计 算 机 上 配置 卫 参数 ， 比 较 简单 方便 。 这 种 配置 方案 增 
加 了 用 户 接 入 的 灵活 性 , 适合 于 客户 机 的 接 入 场景 , 因此 学 生 PC 最 好 采用 动态 卫 地 址 。 

(5) 本 小 题 要 求 考生 掌握 防止 静态 卫 地 址 盗用 的 相关 知识 。IP 地 址 的 修改 非常 容 
易 ， 而 MAC 地 址 存储 在 网 卡 的 EEPROM 中 ， 而 且 网 卡 的 MAC 地 址 是 唯一 确定 的 。 
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此 ,为 了 防止 内 部 人 员 进 行 非法 IP 盗用 例如， 盗用 权限 更 高 人 员 的 IP 地 址 ， 以 获得 
权限 外 的 信息 )， 可 以 将 内 部 网 络 的 他 地址 与 MAC 地址 绑 定 ， 盗 用 者 即使 修改 了 下地 
址 ， 也 因 MAC 地 址 不 匹配 而 盗用 失败 。 

(6) 本 小 题 要 求 考生 掌握 防火 墙 DMZ 区 概念 以 及 服务 器 部 署 的 相关 知识 。 防 火 墙 
中 的 DMZ 区 也 称 为 非 武 装 区 域 , 允许 外 网 的 用 户 有 限度 地 访问 其 中 的 资源 。 通常, DMZ 
区 的 安全 规则 如 下 。 

Q@ 允许 外 部 网 络 用 户 访问 DMZ 区 的 面向 外 网 的 应 用 服务 (如 Web、FTP 和 BBS 等 )。 

@ 允许 DMZ 区 内 的 应 用 服务 器 及 工作 站 访问 Intemet。 

@ 禁止 DMZ 区 的 应 用 服务 器 访问 内 部 网 络 。 

@ 禁止 外 部 网 络 非法 用 户 访问 内 部 网 络 等 。 

通常 DMZ 中 服务 器 不 应 包含 任何 商业 机 密 、 资 源 代码 或 是 私人 信息 。 存 放 机 密 、 
私人 信息 的 设备 应 部 署 在 内 部 网 络 中 。 

由 以 上 分 析 可 知 ， 要 保证 学 校 相关 信息 的 机 密 性 ， 就 要 避免 外 部 网 络 的 用 户 和 内 部 
网 络 中 未 经 授权 的 用 户 直 接 访 问 存 储 学 校 机 密 数 据 的 服务 器 、 存 储 资 源 代码 的 PC 和 存 
储 私人 信息 的 PC 等 ， 因 此 需要 将 这 些 设备 部 署 在 校园 网 内 部 网 络 中 以 确保 其 安全 。 

对 于 邮件 服务 器 、 电 子 商 务 系统 和 应 用 网 关 等 设备 既 要 允许 内 、 外 网 主机 对 其 访问 ， 
又 要 保障 它们 的 安全 性 。 因 此 ， 这 些 设备 需 部 署 在 防火 墙 的 DMZ 区 域 中 。 

2. 案例 参考 答案 

(1) 标准 化 原则 : 所 选择 的 设备 必须 基于 国际 标准 或 行业 标准 。 因 为 只 有 基于 标准 
的 产品 才 有 可 能 与 其 他 厂商 的 产品 互 连 互 通 。 

可 管理 性 原则 : 对 于 大 型 网 络 而 言 ， 这 一 点 是 至 关 重 要 的 ， 它 不 仅 关 系 到 系统 的 性 
能 指标 ， 甚 至 关系 到 系统 的 可 用 性 。 主 要 考查 网 管 系统 对 所 选 设备 的 监管 、 配 置 能 力 ， 
以 及 设备 可 以 提供 的 统计 信息 和 故障 检测 手段 ， 如 骨干 交换 机 必须 具备 端口 镜像 能 力 。 
这 对 于 故障 诊断 ， 以 及 今后 的 网 络 规划 具有 特别 重要 的 价值 。 

容错 元 余 性 原则 : 除了 在 网 络 设计 时 要 考虑 元 余 , 骨干 设备 的 容错 元 余 也 是 必须 的 。 
所 谓 容错 ， 就 是 设备 的 某 一 模块 出 现 故 障 时 ， 是 否 会 影响 其 他 模块 ， 乃 至 其 他 设备 的 正 
常 工作 ， 是 否 支持 热 插 拔 ; 是 否 支持 备份 设备 的 自动 切换 等 。 所 谓 元 余 ， 就 是 配置 的 设 
备 是 否 可 以 安装 多 个 相同 功能 的 模块 ， 在 工作 正常 的 情况 下 实施 负载 分 担 ， 当 其 中 一 个 
出 现 问题 时 自动 切换 。 

可 扩展 性 原则 : 主干 设备 的 选择 应 预 留 一 定 的 扩展 能 力 ， 而 低 端 设备 则 够 用 即 可 。 

保护 原 有 投资 原则 : 根据 方案 实际 需要 选 型 ， 即 根据 网 络 实际 带宽 性 能 需求 、 端 口 
类 型 和 端口 密度 等 选 型 。 尽 量 让 旧 设 备 降级 纳入 到 新 系统 中 ， 保 护 用 户 原 有 的 投资 。 

(2) 空 (1): Routerl 空 (2): Switch1 空 (3): Switch2 

空 (4): Switch3 空 (5): Switch3 
(3) 空 (6): 双 千 兆 光 纤 链 路 空 (7): 千 兆 光纤 
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空 (8): 千 兆 双 绞 线 空 (9): 百 兆 双 绞 线 

(4) 静态 IP 地 址 配置 优点 : 每 个 用 户 拥有 固定 的 IP 地 址 ， 便 于 网 络 的 管理 以 及 资 
源 的 相互 访问 ， 无 需 配置 专用 的 人 P 地 址 管理 服务 器 。 动 态 人 P 地 址 配置 优点 ; 可 避免 他 
地 址 资源 的 浪费 ， 增 加 了 用 户 入 网 的 灵活 性 。 

空 (1): 静态 全 地 址 空 (2): 静态 全 地 址 ” 空 (3): 动态 卫 地 址 

(5) 将 四 地 址 与 MAC 地 址 进行 绑 定 。 

(6) 区 域 A 是 DMZ 区 域 。 区 域 A 中 放置 邮件 服务 器 、 应 用 网 关 、 电 子 商务 系统 ; 
内 网 中 放置 存储 学 校 机 密 数 据 的 服务 器 、 存 储 资 源 代码 的 PC 和 存储 私人 信息 的 PC。 

DMZ 可 以 理解 为 一 个 不 同 于 外 网 或 内 网 的 特殊 网 络 区 域 。DMZ 内 通常 放置 一 些 不 
含 机 密 信息 的 公用 服务 器 ， 如 Web、Mail 和 FTP 等 。 这 样 来 自 外 网 的 访问 者 可 以 访问 
DMZ 中 的 服务 ,但 不 可 能 接触 到 存放 在 内 网 中 的 公司 机 密 或 私人 信息 等 。 即 使 DMZ 中 
服务 器 受到 破坏 ， 也 不 会 对 内 网 中 的 机 密 信息 造成 影响 。 


6.1.2 案例 2 


阅读 以 下 关于 电子 政务 系统 安全 体系 结构 的 叙述 ， 回 答 问题 1 一 问题 4。 

某 城市 计划 建设 电子 政务 系统 ， 由 于 经 费 、 政 务 应 用 成 熟 度 和 使 用 人 员 观 念 等 多 方 
面 的 原因 ， 计 划 采 用 分 阶段 实施 的 策略 来 建设 电子 政务 ， 最 先 建设 急需 和 重要 的 部 分 。 
在 安全 建设 方面 ， 先 投入 一 部 分 资金 保障 关键 部 门 和 关键 信息 的 安全 ， 之 后 在 总 结 经 验 
教训 的 基础 上 分 两 年 逐步 完善 系统 。 因此， 初步 考虑 使 用 防火 墙 、 入 侵 检 测 、 病 毒 扫描 、 
安全 扫描 、 日志 审计 、 网 页 防 算 改 、 私 自 拨号 检测 、PKI 技术 和 FC SAN/IP SAN 等 保障 
电子 政务 的 安全 。 

在 一 次 关于 安全 的 方案 讨论 会 上 ， 张 工 认为 由 于 政务 网 对 安全 性 要 求 比较 高 ， 因 此 
要 建设 防火 墙 、 入 侵 检 测 、 病 毒 扫描 、 安 全 扫描 、 日 志 审计 、 网 页 防 算 改 和 私自 拨号 检 
测 系 统 ， 这 样 就 可 以 全 面 保护 电子 政务 系统 的 安全 。 李 工 则 认为 张 工 的 方案 不 够 全 面 ， 
还 应 该 在 张 工 提出 的 方案 基础 上 ， 使 用 PKI 技术 进行 认证 、 机 密 性 、 完 整 性 和 抗 抵赖 性 
保护 ， 使 用 FC SAN/IP SAN 提供 数据 安全 和 快速 数据 访问 。 

【问题 1】 

请 用 300 字 以 内 文字 ， 从 网 络 安全 方面 ， 特 别针 对 张 工 所 列举 的 建设 防火 墙 、 入 侵 
检测 、 安 全 扫描 、 日 志 审 计 系统 进行 分 析 ， 评 论 这 些 措施 能 够 解决 的 问题 和 不 能 解决 的 
问题 。 

【问题 2】 

请 用 300 字 以 内 文字 ， 主 要 从 认证 、 机 密 性 、 完 整 性 和 抗 抵赖 性 方面 ， 论 述 李 工 的 
建议 在 安全 上 有 哪些 优点 。 

【问题 3】 

对 于 复杂 系统 的 设计 与 建设 ， 在 不 同 阶段 都 有 很 多 非常 重要 的 问题 需要 注意 ， 既 有 
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技术 因素 阻力 ， 又 有 非 技 术 因 素 阻力 。 请 结合 工程 的 实际 情况 ， 用 200 字 以 内 文字 ， 简 
要 说 明 使 用 PKI 还 存在 哪些 重要 的 非 技 术 因 素 方面 的 阻力 。 

【问题 4】 

请 用 300 字 以 内 文字 ， 论 述 李 工 所 提 建 议 中 的 FC SAN 和 IP SAN 的 差别 。 

1. 案例 分 析 

(1) 本 问题 主要 是 要 求 考生 说 明 防 火 墙 、 入 侵 检测 、 病 毒 扫描 、 安 全 扫描 和 日 志 审 
计 系 统 等 常见 的 信息 系统 及 网 络 安全 防护 技术 的 适用 领域 ， 以 及 其 限制 与 约束 。 也 就 是 
要 求 考生 能 够 正确 地 认识 、 选 择 与 应 用 。 

(2) PKI 是 CA 安全 认证 体系 的 基础 ， 为 安全 认证 体系 进行 密 钥 管理 提供 了 一 个 平 
台 ， 它 能 够 为 所 有 网 络 应 用 透明 地 提供 采用 加 密 和 数字 签名 等 密码 服务 所 必须 的 密 钥 和 
证 书 管理 。PKI 包括 认证 中 心 、 证 书库 、 密 钥 备 份 及 恢复 系统 、 证 书 作废 处 理 系统 及 客 
户 端 证 书 处 理 系 统 等 组 成 。 

本 小 题 要 求 考生 深入 了 解 PKI 技术 在 认证 、 机 密 性 、 完整 性 和 抗 抵 赖 性 方面 的 优点 ， 
并 简要 地 做 出 描述 。 

(3) 对 于 复杂 系统 的 设计 与 建设 ， 在 不 同 阶段 都 有 很 多 非常 重要 的 问题 需要 注意 ， 
既 有 技术 因素 阻力 ， 又 有 非 技 术 因 素 阻力 。 而 在 网 络 安 全 的 设计 与 实施 方面 ， 同 样 也 会 
遇 到 非 技 术 因 素 的 阻力 。 本 问题 是 在 前 一 问题 的 基础 上 ， 要 求 考 生 能 够 对 实施 PKI 时 会 
遇 到 的 非 技术 因素 方面 的 阻力 有 清晰 地 认识 ， 并 简要 地 给 出 描述 。 

(4) SAN (Storage Area Network， 存 储 区 域 网 络 ) 是 一 个 由 存储 设备 和 系统 部 件 构 
成 的 网 络 。 所 有 的 通信 都 在 一 个 与 应 用 网 络 隔离 的 单独 的 网 络 上 完成 ， 可 以 被 用 来 集中 
和 共享 存储 资源 。SAN 不 但 提供 了 对 数据 设备 的 高 性 能 连接 ， 提 高 了 数据 备份 速度 ， 还 
增加 了 对 存储 系统 的 元 余 连 接 ， 提 供 了 对 高 可 用 群集 系统 的 支持 。 简 单 地 说 ，SAN 是 关 
联 存储 设备 和 服务 器 的 网 络 。 它 和 以 太 网 有 类 似 的 架构 。 以 太 网 由 服务 器 、 以 太 网 卡 、 
以 太 网 交换 机 及 工作 站 组 成 。SAN 则 由 服务 器 、HBA 卡 、 交 换 机 和 存储 装置 所 组 成 。 

面 对 迅 速 增长 的 数据 存储 需求 ， 大 型 企业 和 服务 提供 商 开 始 选 择 SAN 作为 网 络 基 
础 设施 。 SAN 网 络 具有 出 色 的 可 扩展 性 , 理论 上 最 多 可 以 连接 上 万 个 设备 。 事实 上 , SAN 
比 传统 的 存储 架构 具有 更 多 优势 。 传 统 的 服务 器 连接 存储 通常 难于 更 新 或 集中 管理 。 每 
台 服 务 器 必须 关闭 才能 增加 和 配置 新 的 存储 。 相 比较 而 言 ，SAN 不 必 宕 机 或 中 断 与 服务 
器 的 连接 即 可 增加 存储 , 还 可 以 集中 管理 数据 ， 从 而 降低 总 体 拥有 成 本 。 利 用 协议 技术 ， 
SAN 可 以 有 效 地 传输 数据 块 。 通 过 支持 在 存储 和 服务 器 之 间 传 输 海量 数据 块 ，SAN 提 
供 了 数据 备份 的 有 效 方式 。 因 此 ， 传 统 上 用 于 数据 备份 的 网 络 带 宽 可 以 节约 下 来 用 于 其 
他 应 用 。SAN 可 以 分 为 FC SAN 和 IPSAN。 本 问题 要 求 考生 掌握 FC SAN 和 卫 SAN 之 
间 的 差别 。 

2. 案例 参考 答案 

(1) 防火 墙 是 建立 在 内 外 网 边界 上 的 过 滤 封 锁 机 制 ， 它 认为 内 网 是 可 信 的 ， 外 网 是 
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不 可 信 的 。 它 能 够 防止 外 网 未 经 授权 地 访问 内 网 ， 能 够 防止 外 网 对 内 网 的 攻击 ， 也 能 防 
止 内 网 未 经 授权 地 访问 外 网 。 但 是 ， 根 据 统计 ， 绝 大 多 数 的 网 络 攻击 来 自 于 内 网 ， 而 防 
火 墙 不 能 阻止 内 网 的 攻击 ， 因 此 ， 仅 使 用 防火 墙 不 能 有 效 地 防止 网 络 攻击 。 

入 侵 检测 系统 的 目的 在 于 提供 实时 的 入 侵 检测 及 采取 相应 的 防护 手段 ， 它 的 能 力 要 
点 在 于 能 够 对 付 来 自 内 部 的 攻击 。 如 果 能 够 实现 入 侵 检测 系统 和 其 他 安全 系统 ， 例 如 防 
火 墙 的 联动 ， 则 能 够 更 加 有 效 地 防止 网 络 攻击 。 但 是 ， 目 前 的 入 侵 检测 系统 对 已 知 的 攻 
击 有 较 好 的 检测 ， 对 未 知 的 攻击 检测 能 力 较 弱 ， 而 且 存在 误 报 率 太 高 的 缺点 。 

安全 扫描 : 主要 用 于 发 现 安全 漏洞 。 

日 志 审 计 有 助 于 追查 责任 ， 定 位 故障 ， 系 统 恢复 。 

防火 墙 、 入 侵 检测 、 安 全 扫描 、 日 志 审 计 有 各 自 的 应 用 目的 和 优点 ， 但 不 能 全 面 解 
决 网 络 安全 问题 。 

(2) 防火 墙 、 入 侵 检测 、 病 毒 扫描 、 安 全 扫描 、 日 志 审 计 、 网 页 防 算 改 、 私 自 拨号 
检测 系统 都 不 能 解决 政务 网 中 的 认证 、 机 密 性 、 完 整 性 和 抗 抵赖 性 问题 。 

身份 认证 能 够 解决 通信 或 数据 访问 中 对 对 方 身份 的 认可 , 便于 访问 控制 , 授权 管理 。 
电子 政务 还 有 其 他 的 安全 需求 ， 机 密 性 防止 信息 在 传输 、 存 储 过 程 中 被 泄露 。 

完整 性 防止 对 数据 进行 未 授权 的 创建 、 修 改 或 破坏 ， 使 数据 一 致 性 受到 损坏 。 

抗 抵赖 性 有 助 于 责任 追查 。 

(3) 对 于 复杂 系统 的 设计 与 建设 ， 有 许多 非常 重要 的 问题 。 有 关 使 用 PKI 的 非 技 术 
因素 阻力 如 下 。 

@ 对 所 有 系统 的 有 关 设 计 、 开 发 、 使 用 、 维 护 和 管理 等 人 员 进 行 必要 的 安全 教育 ， 
使 大 家 认识 到 信息 安全 的 重要 性 。 

@ 在 系统 的 设计 、 建 设 、 运 行 阶段 都 要 投入 大 量 的 资金 ， 需 要 充分 咨询 相关 领域 
专家 。 

@ 在 系统 的 设计 、 建 设 、 运 行 阶段 ， 需 要 对 不 同 的 设计 、 开 发 、 使 用 、 管 理 和 维 
护 等 人 员 进 行 针对 性 的 培训 。 

@ 相关 法 律 与 法 规制 度 的 建立 、 执 行 与 监督 。 

(4) FC SAN 和 IP SAN 的 主要 区 别 如 下 。 

FC SAN 使 用 专用 光纤 通道 设备 ，IP SAN 使 用 通用 的 卫 网 络 及 设备 ,因此 FC SAN 
与 IP SAN 相 比 传输 速度 高 ， 但 价格 比 了 P SAN 昂贵 。 

从 应 用 上 来 说 ， 相 对 于 IP SAN，FC SAN 可 以 承接 更 多 的 并 发 访问 用 户 数 。 当 并 发 
访问 存储 的 用 户 数 不 多 时 , FC SAN 对 比 IP SAN 二 者 性 能 相差 无 几 。 但 一 旦 外 接 用 户 数 
呈 大 规模 增长 趋势 时 ，FC SAN 就 显示 出 其 在 稳定 、 安 全 以 及 高 性 能 传输 率 等 方面 的 
优势 。 

FC SAN 比 IP SAN 的 稳定 性 高 ，FC SAN 由 于 使 用 高 效 的 光纤 通道 协议 ， 因 此 大 部 
分 功能 都 是 基于 硬件 来 实现 的 ， 如 后 端 存储 子 系统 的 存储 虚拟 通过 带 有 高 性 能 处 理 器 的 
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专用 RAID 控制 器 来 实现 ， 中 间 的 数据 交换 层 通过 专用 的 高 性 能 ASIC 来 进行 基于 硬件 
级 的 交换 处 理 ， 在 主机 端 通过 带 有 ASIC 芯片 的 专用 HBA 来 进行 数据 信息 的 处 理 。 因 
此 在 大 量 减少 主机 处 理 开 销 的 同时 ， 也 提高 了 整个 FC SAN 的 稳定 性 。 

在 安全 性 方面 ，FC SAN 是 服务 器 后 端的 专用 局 域 网 络 ， 安 全 性 比较 高 。 基 于 iSCSI 
标准 的 耳 SAN 提供 了 initiator 与 目标 端 两 方面 的 身份 验证 (使 用 CHAP、SRP、Kerberos 
和 SPKM), 能 够 阻止 未 经 授权 的 访问 , 只 允许 那些 可 信赖 的 节点 进行 访问 。 另外 , IPSec 
协议 确保 了 数据 私密 性 。 因 此 ， 两 者 的 安全 性 都 较 好 。 

由 于 他 技术 的 普及 和 发 展 ， 利 用 iSCSI 技术 搭建 的 IP SAN 可 以 随 着 网 络 延伸 至 全 
球 任意 一 个 角落 ， 从 根本 上 解决 了 信息 孤岛 的 问题 。 甚 至 可 以 通过 IP SAN 来 连接 各 个 
FC SAN 的 孤岛 ， 因 此 IP SAN 比 FC SAN 具有 更 好 的 伸展 性 。 


6.2 网络 优化 案例 


某 企 业 网 络 的 拓扑 结构 如 图 6-2 所 示 ， 阅 读 以 下 关于 该 企业 网 络 结构 的 描述 ， 然 后 
回答 问题 1 至 问题 4。 


Router 6 


Router 7 


图 6-2 某 企业 网 络 拓扑 结构 图 
(1) 某 企业 网 络 由 总 公司 和 分 公司 组 成 ， 其 中 分 公司 的 网 络 自治 系统 2 (AS 2) 采 
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用 OSPF 路 由 协议 ， 总 公司 的 网 络 自治 系统 1 (AS 1) 采用 RIPv2 路 由 协议 。 

(2) 该 企业 网 络 有 两 个 出 口 ， 一 个 出 口 通过 Routerl 的 S0 端口 连接 ISP1， 另 一 个 
出 口 通 过 Routerl 的 Sl 端口 连接 ISP2。 

(3) 路 由 器 Routerl 的 Fa0/0 端口 连接 LAN3， 该 端口 的 卫 地 址 为 192.168.3.1/24。 
Routerl 的 Fa0/0、Fa0/1、Fa0/2 端口 启用 了 RIPv2 协议 。Routerl 的 Fa0/3 端口 启用 了 
OSPF 协议 。 

(4) 路 由 器 Router2 的 Fa0/0 端口 连接 LAN 1， 其 了 地 址 为 192.168.1.1/24， 在 该 端 
口 启用 了 RIPv2 协议 。 

(5) 路 由 器 Router5 的 Fa0/1 端口 连接 LAN 2 (192.168.2.0/24), 该 端口 的 他 地址 为 
192.168.2.1/24。 

【问题 1】 

与 Router2 连接 的 局 域 网 LAN 1 是 一 个 末节 网 络 , 而 且 已 接近 饱和 , 为 了 减少 流量 ， 
需要 过 滤 进 入 LAN 1 的 路 由 更 新 ， 可 以 采用 什么 方法 实现 ?请 写 出 配置 过 程 。 

【问题 2】 

LAN 2 中 的 计算 机 不 需要 访问 LAN 3 中 的 计算 机 , 为 了 进一步 控制 流量 , 网 络 管理 
员 决 定 通过 访问 控制 列表 阻止 192.168.2.0/24 网 络 中 的 主机 访问 192.168.3.0/24 网 络 ， 请 
问 应 将 访问 控制 列表 设置 在 哪 台 路 由 器 上 ? 如 何 配 置 ? 

【问题 3】 

如 果 希 望 采用 策略 路 由 将 来 自 192.168.3.0/24 网 络 去 往 Intemet 的 数据 流转 发 到 
ISP1， 将 来 自 192.168.2.0/24 网 络 去 往 Internet 的 数据 流转 发 到 ISP2， 应 如 何 配置 ? 

【问题 4】 

要 求 自治 系统 1 中 的 路 由 器 Router2 能 学 习 到 自治 系统 2 (OSPF 网 络 ) 中 的 路 由 信 
息 ， 同 时 Router3 也 能 学 习 到 自治 系统 1 中 的 路 由 信息 ， 应 采用 什么 方法 ? 请 写 出 配置 
过 程 。 

1. 案例 分 析 

网 络 管理 员 可 以 通过 设置 路 由 器 何 时 交换 路 由 更 新 以 及 路 由 更 新 中 应 包含 哪些 信 
息 来 优化 网 络 中 的 路 由 。 本 案例 主要 考查 路 由 优化 方面 的 相关 知识 , 包括 路 由 更 新 控制 、 
基于 策略 的 路 由 和 路 由 重 发 布 等 。 

(1) 问题 1 需要 过 滤 进 入 LAN 1 的 路 由 更 新 , 则 可 以 将 连接 LAN 1 的 Fa0/0 端口 配 
置 为 被 动 接口 。 被 动 接口 只 接收 路 由 更 新 但 不 发 送 路 由 更 新 。passive-interface 命令 可 以 
用 于 所 有 IP 内 部 网 关 协 议 〈 包 括 RIP、IGRP、EIGRP、OSPF 和 IS-IS)， 该 命令 的 语法 
如 下 : 


Router (config-router)# passive-interface type number 


(2) 为 了 过 滤 不 必要 的 通信 流量 ， 可 以 通过 配置 访问 列表 来 实现 。 问 题 2 主要 考查 
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配置 访问 控制 列表 的 原则 和 方法 。 访 问 控制 列表 是 应 用 于 路 由 器 接口 的 指令 列表 ， 用 于 
指定 哪些 数据 包 可 以 接收 并 转发 ， 哪 些 数据 包 需 要 拒绝 ，ACL 可 以 限制 网 络 流 量 、 提 高 
网 络 性 能 。ACL 的 工作 原理 是 读 取 数 据 包 中 第 三 层 及 第 四 层 头 部 中 的 源 卫 、 目 的 卫 和 
目的 端口 等 信息 ， 然 后 根据 预先 定义 好 的 规则 对 包 进 行 过 滤 。 

访问 控制 列表 的 种 类 包括 标准 访问 控制 列表 和 扩展 访问 控制 列表 。 其 中 ， 标 准 访问 
控制 列表 根据 数据 包 的 源 人 PP 地址 决定 转发 或 丢弃 数据 包 ， 其 常用 的 访问 控制 列表 号 从 1 
到 99。 扩 展 访问 控制 列表 基于 源 耳 、 目 的 他、 传输 层 协 议和 应 用 服务 端口 号 进行 过 滤 ， 
使 用 扩展 ACL 可 实现 更 加 精确 的 流量 控制 ， 其 常用 的 访问 控制 列表 号 从 100 到 199。 

ACL 通过 过 滤 数 据 包 并 且 丢 弃 不 希望 抵达 目的 地 的 数据 包 来 控制 通信 流量 。 然而 能 
否 有 效 地 减少 不 必要 的 通信 流量 ， 还 要 取决 于 网 络 管理 员 把 ACL 部 署 在 哪个 地 方 。 其 
部 署 原则 是 : 标准 ACL 要 尽量 靠近 目的 端 ， 扩展 ACL 则 要 尽量 靠近 源 端 。 因 此 ， 本 小 
题 应 在 路 由 器 Router5 上 配置 扩展 访问 控制 列表 。 

(3) 本 小 题 要 求 考生 掌握 策略 路 由 的 原理 及 其 配置 方法 。 通 过 策略 路 由 ， 路 由 器 可 
以 按照 事先 设置 好 的 规则 根据 数据 包 的 目的 卫 或 源 IP 来 选择 路 由 。 尽 管 策略 路 由 可 以 
用 于 在 AS 中 控制 数据 流 ， 但 它 通常 用 于 控制 AS 间 的 路 由 。 

route-map 命令 用 于 配置 策略 路 由 ， 其 语法 如 下 : 


Router (config)# route-map map-tag {permit|ldeny} [sequence-number] 
Router (config-map-router)# 


参数 map-tag 是 该 路 由 图 的 标识 符 , 可 以 将 其 设置 为 容易 理解 的 字符 串 , 例如 ISP2。 
Ioute-map 命令 将 把 路 由 器 的 模式 改变 为 路 由 图 配置 模式 〈config-map-router)， 在 该 模式 
下 ， 可 以 为 路 由 图 配置 条 件 。 每 个 route-map 命令 中 都 有 一 组 set 和 match 命令 。match 
命令 用 于 指定 匹配 准则 ，set 命令 用 于 设置 满足 匹配 条 件 时 要 采取 的 动作 。 

路 由 图 的 运行 机 理 和 访问 控制 列表 相似 ， 都 是 逐 行进 行 检查 ， 遇 到 匹配 就 立即 进行 
处 理 。 

(4) 本 小 题 要 求 考生 掌握 路 由 重 发 布 相关 基本 知识 及 配置 方法 。 为 了 在 互联 网 络 中 
高 效 地 支持 多 种 路 由 选择 协议 ， 必 须 在 这 些 不 同 的 路 由 协议 之 间 共 享 路 由 信息 。 例 如 ， 
从 RIP 路 由 进程 所 学 习 到 的 路 由 可 能 需要 被 注入 到 IGRP 路 由 进程 中 去 。 在 路 由 选择 协 
议 之 间 交 换 路 由 信息 的 过 程 称 为 路 由 重 发 布 。 这 种 重 发 布 可 以 是 单 向 的 或 双向 的 ， 单 向 
是 指 一 种 路 由 协议 从 另 一 种 路 由 协议 那里 接收 路 由 ， 双 向 是 指 两 种 路 由 选择 协议 互相 接 
收 对 方 的 路 由 。 执 行路 由 重 发 布 的 路 由 器 称 为 边界 路 由 器 ， 因 为 它 处 于 两 个 或 者 多 个 自 
治 系统 或 路 由 域 的 边界 上 。 

根据 本 小 题 的 要 求 ， 应 该 在 路 由 器 Routerl 上 配置 双向 路 由 重 发 布 。 

2. 案例 参考 答案 

(1) 为 了 阻止 路 由 更 新 进入 LAN 1， 可 以 将 路 由 器 Router2 的 Fa0/0 端口 配置 为 被 
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动 接 口 。 


Router2 (config)# router rip 


Router2 (config-router)# passive-interface fa0/0 
(2) 应 将 访问 控制 列表 设置 在 路 由 器 Router5 上 ， 配 置 方 法 如 下 : 


Router5 (config)#access-list 101 deny ip 192.168.2.00.0.0.255 192.168.3.0 
.255 

Router5 (config)# access-list 101 permit ip any any 

Router5 (config)# int fa0/1 

Router5 (config-if)# ip access-group 101 in 


(3) 可 以 在 路 由 器 Routerl 上 配置 策略 路 由 ， 其 配置 方法 如 下 : 


Routerl (config)# access-list 1 permit 192.168.3.0 0.0.0.255 
Routerl (config)# access-list 2 permit 192.168.2.0 0.0.0.255 
Routerl (config)# route-map ISP1 permit 10 

Routerl (config-route-map)# match ip address 1 

Routerl (config-route-map)# set interface serial 0 

Routerl (config-route-map)# exit 

Routerl (config)# route-map ISP2 permit 20 

Routerl (config-route-map)# match ip address 2 

Routerl (config-route-map)# set interface serial 1 


然后 将 每 个 路 由 图 应 用 到 路 由 器 Routerl 的 适当 接口 上 ， 这 里 的 适当 接口 是 指 那些 
数据 流 进入 路 由 器 的 接口 。 


Routerl (config)# interface fa0/0 

Router1l (config-if)# ip policy route-map ISP1 
Router1l (config-if)# interface fa0/1 

Routerl (config-if)# ip policy route-map ISP2 
Routerl (config-if)# interface fa0/2 

Router1l (config-if)# ip policy route-map ISP2 


(4) 可 以 在 两 个 自治 系统 的 边界 路 由 器 Routerl 上 设置 路 由 重 发 布 ， 配 置 过 程 如 下 。 
配置 OSPF 协议 和 路 由 重 发 布 命令 : 


Routerl (config)# router ospf 101 
Routerl (config-router)# redistribute rip subnets 
Routerl (Config-router)# network X.X.X.X wildcard area 0 


配置 RIP 协议 和 路 由 重 发 布 : 


Routerl (config)# router rip 
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Routerl (config-router)# network X.X.X.X // 配 置 多 条 network 命令 

Routerl (Config-router)# passive-interface fa0/3 

Routerl (config-router)# redistribute ospf 101 match internal external 1 
external 2 


Routerl (config-router)# default-metric 10 


6.3 ”网络 配置 案例 


6.3.1 案例 1 


阅读 以 下 关于 某 网 络 结构 的 描述 ， 然 后 回答 问题 1 至 问题 5。 
网 络 拓扑 结构 如 图 6-3 所 示 , 交换 机 均 为 Cisco Catalyst 2960, 路 由 器 均 为 Cisco 2621， 
路 由 器 各 接口 卫 参数 如 表 6-2 所 示 。 


表 6-2 设备 及 接口 信息 表 
路 由 器 到 参数 


202.114.66.5/30 
Routerl 

192.168.1.254/24 
de Fa0/0 ? 
We S11 (DCE 端 ) ? 

202.114.66.9/30 
Router3 202.114.64.1/24 


Fa0/l 202.114.67.1/24 


Switch3 
Cpr 


Router3 
Routerl 二 
= Fa0/0 


Serverl 


outer2 
C3 


Vad Fa0/0 
Switch2 


Fag/l Fa0/2 


PC5 EY. PC7 


6-3 网络 拓扑 结构 
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【问题 1】 

为 路 由 器 Router2 规划 IP 地 址 ， 并 说 明 选 择 所 规划 IP 地 址 及 子 网 掩 码 的 理由 ， 为 
Fa0/0 和 S1/1 接口 配置 IP 地 址 并 启用 接口 。 

【问题 2】 

全 地 址 紧张 ,路 由 器 Routerl Fa0/1 接口 所 连接 的 局 域 网 分 配 内 部 他 地 址 192.168. 
1.X/24， 现 要 求 在 Routerl 中 配置 网 络 地 址 转换 (NAT)， 外 部 地 址 为 Fa0/0 接口 的 地 址 
202.114.66.5/30。 并 请 简要 说 明 路 由 器 Routerl 实施 网 络 地 址 转换 的 过 程 。 

【问题 3】 

在 路 由 器 Router3 中 配置 DHCP 服务 ,为 Fa0/1 接口 连接 的 局 域 网 动态 分 配 卫 地址 ， 
域名 服务 器 的 卫 为 202.114.64.2, 地 址 租 期 为 30 天 ， 该 局 域 网 中 有 一 台 服 务 器 已 配置 静 
态 卫 202.114.67.8/24， 请 写 出 配置 过 程 。 

【问题 4】 

路 由 器 Router2 和 Router3 之 间 的 链 路 采用 PPP 协议 封装 ， 要 求 采用 安全 的 认证 方 
式 。 请 写 出 配置 过 程 并 简要 注释 。 

【问题 5】 

假如 该 网 络 采 用 RIP 路 由 协议 ， 请 写 出 路 由 器 Router3 中 的 配置 过 程 。 

1. 案例 分 析 

掌握 网 络 设备 的 配置 方法 是 网 络 规划 师 的 基本 技能 之 一 ， 本 案例 主要 是 考查 以 下 知 
识 点 。 
(1) 对 子 网 掩 码 和 变 长 子 网 掩 码 的 理解 。VLSM (Variable Length Subnet Mask， 变 
长 子 网 掩 码 ) 是 一 种 产生 不 同 大 小 子 网 的 网 络 分 配 机 制 ， 指 一 个 网 络 可 以 配置 不 同 的 掩 
码 。 提 出 变 长 度 子 网 掩 码 的 想法 就 是 在 每 个 子 网 保留 足够 主机 数 的 同时 ， 把 一 个 子 网 进 
一 步 分 成 多 个 小 子 网 以 便 更 有 效 地 节省 卫 地 址 。 如 果 没 有 VLSM, 在 一 个 网 络 中 只 能 采 
用 同样 的 子 网 掩 码 ， 这 样 每 个 子 网 中 具有 相同 的 主机 数 ， 缺 乏 灵活 性 。 

VLSM 技术 对 高 效 分 配 人 P 地 址 ( 较 少 浪 费 ) 以 及 减 小 路 由 表 都 起 到 非常 重要 的 作用 ， 
但 是 需要 注意 的 是 ， 使 用 VLSM 时 ， 所 采用 的 路 由 协议 必须 能 够 支持 它 ， 这 些 路 由 协议 
包括 RIP2、OSPF、EIGRP 和 BGP。 换 言 之 ， 无 类 路 由 选择 网 络 中 可 以 使 用 VLSM， 而 
在 有 类 路 由 选择 网 络 中 不 能 使 用 VLSM。 

(2) 掌握 路 由 器 接口 的 配置 方法 。 


Router (config)# interface type slot/port // 进 入 接口 配置 模式 
Router (config-if)# ip address IP address subnet mask 

// 设 置 接口 的 IP 地 址 和 子 网 掩 码 
Router (Config-if)# clock rate 64000 // 配 置 接口 时 钟 , 这 个 命令 用 于 DCE 设备 
Router (config-if)# no shutdown // 开 启 一 个 接口 
Router (config-if)# description string  // 为 接口 设置 描述 字符 串 ， 在 大 型 网 络 中 
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// 方 便 管 理 员 掌握 该 接口 连接 的 设备 或 位 置信 息 
Router (config-if)# bandwidth rate in Kbps  // 改 变 该 接口 的 带宽 值 


(3) 掌握 NAT 的 工作 原理 及 配置 方法 。 

IP 地 址 耗 尽 促成 了 CIDR 的 开发 ， 但 CIDR 开发 的 主要 目的 是 为 了 有 效 使 用 现 有 
Internet 地 址 ， 而 同时 根据 RFC 1631 (The IP Network Address Translator) 开发 的 NAT 技 
术 却 可 以 让 多 台 主 机 使 用 相同 的 他 地址 连接 到 Intemet， 用 来 减少 注册 人 P 地 址 的 使 用 。 

NAT 技术 使 得 一 个 私有 网 络 可 以 通过 Intemet 注册 IP 连接 到 外 部 世界 ， 位 于 inside 
网 络 和 outside 网 络 间 的 NAT 路 由 器 在 向 外 部 发 送 数据 包 之 前 ,负责 把 内 部 卫 翻译 成 外 
部 合法 地 址 。NAT 的 翻译 可 以 采取 静态 翻译 (Static Translation) 和 动态 翻译 (Dynamic 
Translation〉 两 种 方法 。 静 态 翻 译 将 内 部 地 址 和 外 部 地 址 一 一 对 应 ， 动 态 翻 译 则 是 根据 
需要 将 内 部 地 址 动态 转换 为 地 址 池 〈pool) 中 的 外 部 地 址 。 通 过 改变 向 外 发 送 数据 包 的 
源 端 口 可 以 将 多 个 内 部 人 P 地 址 映射 到 同一 个 外 部 地 址 ， 这 就 是 PAT 技术 (Port Address 
Translator )。 

NAT 配置 的 常用 命令 如 下 。 

。 ip nat {insideloutside}: 接口 配置 命令 ， 至 少 在 一 个 内 部 和 一 个 外 部 接口 上 启用 
NAT。 
ip nat inside source static Ilocal-ip global-ip: 全 局 配置 命令 , 在 对 内 部 局 部 地 址 使 用 
静态 地 址 转换 时 ， 用 该 命令 进行 地 址 定义 。 
access-list access-list-number {permitldeny} local-ip-address: 使 用 该 命令 为 内 部 网 
络 定义 一 个 标准 的 下 访问 控制 列表 。 
ip nat pool pool-name start-ip end-ip netmask netmask [type rotary]: 使 用 该 命令 为 内 
部 网 络 定义 一 个 NAT 地 址 池 。 
ip nat inside source list access-list-number pool pool-name [overload]: 使 用 该 命令 定 
义 访问 控制 列表 与 NAT 内 部 全 局 地 址 池 之 间 的 映射 。 
ip nat outside source list access-1ist-number pool pool-name [overload]: 使 用 该 命令 
定义 访问 控制 列表 与 NAT 外 部 局 部 地 址 池 之 间 的 映射 。 

。 ip nat inside destination list access-1ist-number pool pool-name: 使 用 该 命令 定义 访问 
控制 列表 与 终端 NAT 地 址 池 之 间 的 映射 。 

。 show ip nat translations: 显示 当前 存在 的 NAT 转换 信息 。 

。 show ip nat statistics: 查看 NAT 的 统计 信息 。 

。 show ip nat translations verbose: 显示 当前 存在 的 NAT 转换 的 详细 信息 。 


debug ip nat: 跟踪 NAT 操作 ， 显 示 出 每 个 被 转换 的 数据 包 。 
clear ip nat translations *: 删除 NAT 映射 表 中 的 所 有 内 容 。 
(4) 掌握 DHCP 工作 原理 ， 并 熟悉 如 何在 路 由 器 中 配置 DHCP 服务 。 
DHCP 服务 器 能 够 自动 为 网 络 中 的 计算 机 提供 人 P 地 址 等 网 络 参数 , 考生 不 仅 要 掌握 
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Windows/Linux 中 的 DHCP 服务 配置 方法 ， 也 要 掌握 在 路 由 器 中 如 何 配置 DHCP 服务 。 


Router (config)# ip dhcp pool pool-name // 配 置地 址 池 

Router (dhcp-config)# network ip network subnet mask// 设 置 动态 分 配 的 地 
// 址 段 

Router (dhcp-config)# domain-name test.com // 为 客户 机 配置 域 后 级 

Router (dhcp-config)# dns-server IP address // 为 客户 机 配置 DNS 服务 器 

Router (dhcp-config)# default-router IP address // 为 客户 机 配置 网 关 IP 地 址 

Router (dhcp-config)# lease n // 设 置地 址 租用 期 为 n 天 


在 整个 网 络 中 ， 有 些 IP 地 址 需要 静态 地 指定 给 一 些 特定 的 设备 ， 如 路 由 器 的 端口 、 
DNS 服务 器 和 WWW 服务 器 和 等。 显然， 这 些 静 态 IP 地 址 是 不 能 用 于 动态 分 配 的 ， 这 就 
需要 将 它们 排除 掉 。 其 配置 命令 如 下 : 


Router (dhcp-config)# ip dhcp excluded-address start-ip end-ip 


(5) 掌握 PPP 协议 和 RIP 协议 的 原理 及 配置 方法 。 

PPP 协议 中 提供 了 一 整套 方案 来 解决 链 路 建立 、 维 护 、 拆 除 、 上 层 协议 协商 和 认证 
等 问题 。PPP 协议 包含 链 路 控制 协议 (Link Control Protocol，LCP) 和 网 络 控制 协议 
(Network Control Protocol，NCP)。PPP 支持 用 户 认证 ， 最 常用 的 认证 方式 包括 口令 验证 
协议 (Password Authentication Protocol，PAP) 和 CHAP 协议 (Challenge-Handshake 
Authentication Protocol )。 

RIP (Routing Information Protocol) 是 应 用 较 早 、 使 用 较 普 遍 的 内 部 网 关 协 议 (Interior 
Gateway Protocol，IGP)， 适 用 于 小 型 网 络 ， 是 典型 的 距离 向 量 协 议 。 协 议 文档 见 RFC 
1058 和 RFC1723。 


Router (config)# router rip / /指定 使 用 RIP 协议 
Router (config-router)# version {1|2} // 指 定 RIP 版 本 
Router (config-router)# network ip network // 设 置 允 许 路 由 的 网 络 
2. 案例 参考 答案 


(1) 根据 链 路 对 端的 卫 地 址 及 子 网 掩 码 ， 可 计算 出 Router2 Fa0/0 端口 的 他 地址 为 
202.114.66.6/30，SL1 端口 的 卫 地 址 为 202.114.66.10/30。 


Router2 (config)# interface fa0/0 

Router (Config-if)#ip address 202.114.66.6 255.255.255.252 
Router (config-if)#no shutdown 

Router (config-if)#interface seriall/l 

Router (config-if)#ip addr 202.114.66.10 255.255.255.252 
Router (config-if)#clock rate 64000 

Router (config-if)#no shutdown 
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(2) Routerl(config)j# interface fa0/1 


Routerl (config-if)#ip address 192.168.1.254 255.255.255.0 


Routerl (config-if)#ip nat inside 

Routerl (config-if)#interface fa0/0 

Routerl (config-if)#ip address 202.114.66.5 255. 
Routerl (config-if)#ip nat outside 


2535.253.252 


Routerl (config)#ip nat inside source list 1 interface FastEthernet0/0 


overload 
Routerl (config)#access-list 1 permit 192.168.1. 


0 0.0.0.255 


当 内 网 计算 机 发 出 的 数据 包 经 过 路 由 器 Routerl 时 ,路 由 器 Routerl 替换 数据 包 中 的 
源 卫 和 源 port, 并 建立 映射 表 。 当 外 网 计算 机 发 来 的 响应 数据 包 经 过 路 由 器 Routerl 时 ， 
路 由 器 根据 NAT 映射 表 替 换 目 标 亿 和 目标 port， 然 后 转发 到 内 网 。 


(3) Router3(config)# ip dhcp pool lan67 


ZO 1 6 0 255: 
excluded-address 


Router3 (dhcp-config)# network 
Router3 (dhcp-config)# ip dhcp 
Router3 (dhcp-config)# ip dhcp excluded-address 
Router3 (dhcp-config)# dns-server 202.114.64.2 
outer3 (dhcp-config)# default-router 202.114.67. 
outer3 (dhcp-config)# lease 30 


(4) Router2(config)#hostname router2 


outer2 (config)#username router3 password cisco 


outer2 (config)#interface seriall/l 
outer2 (config-if)#encapsulation ppp 
outer2 (config-if)#ppp authentication chap 


outer3 (config)#hostname router3 
outer3 (config)#username router2 password cisco 


outer3 (config)#interface seriall/l 
outer3 (config-if)#encapsulation ppp 
outer3 (config-if)#ppp authentication chap 


(5) Router3(config)#router rip 


Router3 (config-router)#version 2 
Router3 (Config-router)#network 202.114.66.0 
Router3 (config-router)#network 202.114.64.0 


255.255.0 
202.114.67.1 
202.114.67.8 


// 配 置 用 于 认证 的 用 户 名 及 
// 密 码 


// 设 置 封装 PPP 协议 
// 设 置 PPP 认证 方式 为 CHAP 


// 设 置 路 由 器 主机 名 
// 配 置 用 于 认证 的 用 户 名 及 
// 密 码 


// 设 置 封装 PPP 协议 
// 设 置 PPP 认证 方式 为 CHAP 


第 6 章 ， 网 络 系统 分 析 与 设计 案例 841 


Router3 (Config-router)#network 202.114.67.0 


Router3 (Config-router)#no auto-summary 


6.3.2 案例 2 


VPN 是 一 种 能 够 通过 共享 的 网 络 基 础 设施 如 因特网 , 来 提供 安全 、 可 靠 连接 的 服务 。 
站 点 到 站 点 VPN 可 以 用 于 连接 公司 之 间 的 站 点 ， 过 去 ， 公 司 之 间 的 连接 通常 使 用 租用 X. 
25/DDN 专线 或 帧 中 继 ， 但 现在 可 通过 VPN 代替 以 节省 成 本 。 图 6-4 是 某 企业 的 总 公司 
和 子 公司 通过 支持 VPN 的 防火 墙 构建 的 站 点 到 站 点 VPN。 


Router A Router B 


209.165.200.228 


209.165.201.7 
209.165.201.8 209.165.200.229 


Firewall A Firewall B 


192.168.12.1 10.0.0.1 


Beijing Shanghai 


192.168.12.2 192.168.12.254 10.0.0.2 
图 6-4 站 点 到 站 点 VPN 


【问题 1】 
Firewall-A 的 部 分 配置 如 下 ， 请 对 配置 命令 给 出 注释 。 


hostname Beijing 

access-list 90 permit ip 192.168.12.0 255.255.255.0 10.0.0.0 255.0.0.0 
global (outside) 1 209.165.202.129-209.165.202.159 
global (outside) 1 209.165.202.160 

nat 0 access-list 90 

nat (inside) 1 0 0 

isakmp enable outside 

isakmp policy 9 authentication pre-share 

isakmp policy 9 encrypt des 

Isakmp policy 9 hash sha 

Isakmp policy 10 lifetime 86400 
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crypto isakmp key ciscol234 address 209.165.200.229 
crypto ipsec transform-set strong esp-des esp-sha-hmac 
crypto map Shanghai 20 ipsec-isakmp 

crypto map Shanghai 20 match address 90 

crypto map Shanghai 20 set transform-set strong 

crypto map Shanghai 20 set peer 209.165.200.229 

crypto map Shanghai interface outside 

sysopt connection permit-ipsec 

route outside 0.0.0.0 0.0.0.0 209.165.201.7 1 


【问题 2】 

Firewall 可 以 使 用 AAA 对 进 站 连接 和 出 站 连接 进行 控制 ， 现 在 要 求 当 图 中 192.168. 
12.0/24 网 段 中 的 用 户 访 问 Internet 时 ,Firewall 会 对 用 户 进行 验证 , 只 有 当 用 户 输入 正确 
的 用 户 名 和 密码 后 ，Firewall 才 会 允许 用 户 的 访问 ,请 写 出 配置 AAA 的 相关 命令 。 假 定 
网 络 中 有 一 台 Radius 服务 器 ， 其 IP 地 址 为 192.168.12.254。 

【问题 3】 

请 简单 叙述 IPSec 是 如 何 工 作 的 。 

1. 案例 分 析 

本 案例 主要 是 考查 以 下 知识 点 。 

(1) 深入 了 解 VPN 相关 知识 ， 并 掌握 VPN 的 配置 方法 。 

通过 对 网 络 数据 的 封包 和 加 密 传输 ， 在 公用 网 上 传输 私有 数据 、 达 到 私有 网 络 的 安 
全 级 别 ， 从 而 利用 公用 网 构筑 企业 网 络 ， 这 就 是 虚拟 私有 网 络 (Virtal Private Network， 
VPN)。 如 果 接 入 方式 为 拨号 方式 ， 则 称 之 为 VPDN。VPN 通过 公众 IP 网 络 建立 了 私有 
数据 传输 通道 ， 将 远程 的 分 支 办 公 室 、 商 业 伙 伴 和 移动 办 公 人 员 等 连接 起 来 。 减 轻 了 企 
业 的 远程 访问 费用 负担 ， 节 省 电话 费用 开支 ， 并 且 提 供 了 安全 的 端 到 端的 数据 通信 。 

目前 , VPN 主要 采用 4 项 技术 来 保证 安全 , 这 4 项 技术 分 别 是 隧道 技术 (Tunneling)、 
加 解密 技术 〈Encryption & Decryption)、 密 钥 管理 技术 (Key Management) 和 使 用 者 与 
设备 身份 认证 技术 (Authentication ) 。 

隧道 技术 是 VPN 的 基本 技术 ， 类 似 于 点 对 点 连接 技术 ， 它 在 公用 网 建立 一 条 数据 
通道 (隧道 )， 让 数据 包 通 过 这 条 隧道 传输 。 隧 道 是 由 隧道 协议 形成 的 ,分 为 第 二 、 三 层 
隧道 协议 。 第 二 层 隧道 协议 是 先 把 各 种 网 络 协议 封装 到 PPP 中 ， 再 把 整个 数据 包装 入 隧 
道 协议 中 。 这 种 双 层 封装 方法 形成 的 数据 包 靠 第 二 层 协 议 进 行 传输 。 第 三 层 隧道 协议 是 
把 各 种 网 络 协议 直接 装 入 隧道 协议 中 ， 形 成 的 数据 包 依靠 第 三 层 协议 进行 传输 。 第 二 层 
隧道 协议 有 L2F、PPTP 和 L2TP 等 , 第 三 层 隧道 协议 有 IPSec 等 。 本 案例 主要 考查 IPSec 
VPN 的 相关 知识 。 

(2) 理解 AAA 协议 。 

访问 控制 是 用 来 控制 接 入 网 络 或 访问 网 络 资源 的 用 户 ， 并 限制 他 们 可 使 用 的 服务 种 
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类 。AAA (Authentication、Authorization、Accounting， 身 份 认 证 、 授 权 、 审 计 ) 协议 所 
提供 的 功能 是 为 了 提高 网 络 安全 性 。 
。 Anuthentication: 主要 功能 是 提供 用 户 赁 证 以 获得 对 一 个 系统 访问 的 权利 。 主 要 验 
证 用 户 有 没有 接 入 到 网 络 中 的 凭证 ， 如 果 没 有 ， 则 拒绝 接 入 其 网 络 。 

。 Anuthorization: 用 户 接 入 到 网 络 中 ， 控 制 用 户 使 用 网 络 的 权利 ， 例 如 用 户 只 能 查 
看 网 络 设备 的 状态 ， 不 能 对 其 进行 修改 等 。 

。 Accounting: 主要 记录 用 户 登 录 网 络 中 所 做 的 活动 ， 详 细 记 录用 户 何 时 、 何 处 做 
了 什么 。 

AAA 的 体系 结构 包括 如 下 三 部 分 。 

。 AAA 的 服务 器 : 安装 了 ACS 软件 的 服务 器 。 

。 AAA 的 客户 端 : 支持 AAA 服务 的 各 种 网 络 设备 。 

。 AAA 协议 : 负责 在 服务 器 和 客户 端 之 间 进 行 认 证 信息 交互 ， 常 用 TACACS+、 

RADIUS 和 Kerberos 三 种 协议 。 

(3) 在 了 解 PSec 工作 原理 的 基础 上 掌握 其 工作 过 程 。 

IPSec (Internet Protocol Security，Intenet 安全 协议 ) 是 IETF 提供 Intemet 安全 通 
信 的 一 系列 规范 , 它 提供 私有 信息 通过 公用 网 的 安全 保障 。 IPSec 适用 于 目前 的 IPv4 和 
下 一 代 IPv6。IPSec 将 几 种 安全 技术 结合 形成 一 个 完整 的 安全 体系 ， 它 包括 安全 协议 部 
分 和 密 钥 协 商 部 分 。 

Q@ 安全 关联 和 安全 策略 : 安全 关联 (Security Association，SA) 是 构成 IPSec 的 基 
础 ， 是 两 个 通信 实体 经 协商 建立 起 来 的 一 种 协定 ， 它 们 决定 了 用 来 保护 数据 包 安 全 的 安 
全 协议 (AH 协议 或 者 ESP 协议 )、 转 码 方式 、 密 钥 及 密 钥 的 有 效 存在 时 间 等 。 

@ IPSec 协议 的 运行 模式 : IPSec 协议 的 运行 模式 有 两 种 ，IPSec 隧道 模式 及 IPSec 
传输 模式 。 隧 道 模式 的 特点 是 数据 包 最 终 目 的 地 不 是 安全 终点 。 通 常情 况 下 ， 只 要 IPSec 
双方 有 一 方 是 安全 网 关 或 路 由 器 ， 就 必须 使 用 隧道 模式 。 传 输 模式 下 ，IPSec 主要 对 上 层 
协议 即 他 包 的 载荷 进行 封装 保护 ， 传 输 模式 常用 于 两 台 主机 之 间 的 安全 通信 。 

@@ AH (Authentication Header， 认 证 头 ) 协议 : 设计 AH 认证 协议 的 目的 是 用 来 增 
加 IP 数据 报 的 安全 性 。AH 协议 提供 无 连接 的 完整 性 、 数 据 源 认证 和 抗 重 放 保护 服务 ， 
但 是 AH 不 提供 任何 保密 性 服务 。 

ESP (Encapsulate Security Payload， 封 装 安全 载荷 ) 协议 : 用 于 提高 Internet 协 
议 的 安全 性 。 它 可 为 人 P 提供 机 密 性 、 数 据 源 验 证 、 抗 重 放 以 及 数据 完整 性 等 安全 服务 。 

@ Intemet 密 钥 交换 协议 (IKE): 是 IPSec 默认 的 安全 和 密 钥 协 商 方 法 。IKE 通过 一 
系列 报 文 交换 为 两 个 实体 (如 网 络 终端 或 网 关 ) 进行 安全 通信 派生 会 话 密 钥 。IKE 建立 
在 Intemet 安全 关联 和 密 钥 管理 协议 (ISAKMP) 定义 的 一 个 框架 之 上 。IKE 是 IPSec 
目前 正式 确定 的 密 钥 交 换 协 议 ，IKE 为 IPSec 的 AH 和 ESP 协议 提供 密 钥 交换 管理 。 
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2. 案例 参考 答案 
(1) 关键 配置 命令 的 注释 如 下 : 
hostname Beijing // 设 置 主机 名 


access-list 90 permit ip 192.168.12.0 255.255.255.0 10.0.0.0 255.0.0.0 
// 该 访问 列表 定义 总 公司 去 往 子 公司 间 的 流量 
global (outside) 1 209.165.202.129-209.165.202.159 // 定 义 外 部 地 址 池 用 于 
//NAT 或 PAT 
global (outside) 1 209.165.202.160 
nat 0 access-list 90 // 将 访问 列表 90 排除 在 NAT 之 外 
nat (inside) 1 0 0 // 对 其 他 的 所 有 流量 进行 NAT 转换 
isakmp enable outside  // 在 outside 接口 上 启动 IKE 
isakmp policy 9 authentication pre-share // 定 义 IKE 策略 , 优先 级 为 9, 认证 
// 方 式 采用 预 共享 密 钥 方式 
isakmp policy 9 encrypt des // 配 置 加 密 方式 为 des (用 于 数据 加 密 》 
Isakmp policy 9 hash sha // 配 置 hash 算法 为 sha (用 于 鉴别 数据 包 ) 
Isakmp policy 10 lifetime 86400 // 指 定 IKE SA 的 生存 时 间 
crypto isakmp key ciscol234 address 209.165.200.229 // 配 置 预 共 享 密 钥 
// 并 和 对 端 关 联 
crypto ipsec transform-set strong esp-des esp-sha-hmac 
// 配 置 交 换 集 ， 名 称 为 strong， 交 换 集 被 设计 用 于 为 数据 流 制定 一 个 特定 的 安全 策略 
crypto map Shanghai 20 ipsec-isakmp // 配 置 加 密 图 
crypto map Shanghai 20 match address 90 // 配 置 上 面 的 访问 列表 90 为 加 密 数据 流 
crypto map Shanghai 20 set transform-set strong // 指 定 该 IPsec 加 密 图 使 用 的 
// 交 换 集 为 strong 
crypto map Shanghai 20 set peer 209.165.200.229 // 配 置 VPN 对 等 体 
crypto map Shanghai interface outside  // 将 加 密 图 Shanghai 应 用 到 outside 
// 接 口 
sysopt connection permit-ipsec // 配 置信 任 IPSec 流量 
route outside 0.0.0.0 0.0.0.0 209.165.201.7 1 // 配 置 默 认 路 由 


(2) 配置 AAA 服务 器 参数 : 


firewall (config)# aaa-server test protocol radius 
firewall (config)# aaa-server test (inside) host 192.168.12.254 cisco 


firewall (config)# access-list access-internet extended permit ip any any 


firewall (config)# aaa authentication match access-internet inside test 


(3) IPSec 的 目标 是 用 必要 的 安全 服务 保护 有 用 的 数据 。IPSec 的 操作 可 以 分 成 5 个 
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主要 的 步骤 。 

@ 定义 感 兴趣 的 数据 流 。 当 用 户 发 送 的 业务 流 需 要 保护 时 ， 将 其 定义 为 感 兴趣 的 
数据 流 。VPN 设备 会 将 这 种 数据 流通 过 IPSec 隧道 传送 。 对 于 IPSec 保护 的 每 个 数据 包 ， 
系统 管理 员 必 须 指 定数 据 包 所 用 的 安全 服务 。 安 全 策略 数据 库 将 指定 数据 流 所 使 用 的 
IPSec 协议 、 模 式 和 算法 。 

@ IKE 阶段 1。 在 对 等 体 之 间 ， 协 商 并 确定 了 一 套 最 基本 的 安全 服务 ， 这 一 套 基 本 
的 服务 将 保护 对 等 体 之 间 发 生 的 后 续 通 信服 务 。IKE 阶段 1 的 目的 是 协商 IKE 策略 集 、 
认证 对 等 体 并 在 对 等 体 之 间 建 立 安全 的 信道 。 

@ IKE 阶段 2。IKE 协商 IPSec 安全 关联 参数 ， 并 在 对 等 体 中 建立 相 匹 配 的 IPSec 
安全 关联 。 这 些 安全 参数 用 于 保护 端点 之 间 交 换 的 数据 和 消息 。 该 阶段 主要 执行 以 下 
功能 。 

。 协商 IPSec 安全 性 参数 和 IPSec 转换 集 。 

。 建立 IPSec 的 SA。 

。 定期 重 协商 IPSec 的 SA， 以 确保 安全 性 。 

。 可 以 执行 额外 的 DH 交换 。 

@ 数据 传输 。 基 于 保存 在 安全 关联 数据 库 中 的 IPSec 参数 和 密 钥 ， 在 IPSec 对 等 体 
间 传 送 数 据 。 

@@ IPSec 隧道 终止 。 可 以 通过 删除 或 超时 的 方式 将 IPSec SA 终止 。 超过 规定 的 秒 数 
或 当 一 定数 量 的 字 节 通过 隧道 后 ，SA 就 会 超时 。SA 终止 时 ， 密 钥 也 会 被 丢弃 。 如 果 数 
据 流 需 要 后 续 的 IPSec SA， 则 IKE 将 执行 新 的 协商 。 协 商 成 功 后 将 会 产生 新 的 SA 和 新 
的 密 钥 。 


6.4 网 络 故障 分 析 与 处 理 案例 


阅读 以 下 描述 ， 然 后 回答 问题 1 至 问题 4。 

某 企业 局 域 网 拓扑 结构 如 图 6-5 所 示 ， 三 台 交 换 机 互相 通过 快速 以 太 网 端口 连接 。 
在 交换 机 Switch2 上 创建 有 基于 端口 的 VLAN， 其 中 Fa0/3 属于 VLAN 3，Fa0/4 属于 
VLAN5。, 交换 机 Switch3 上 也 创建 有 基于 端口 的 VLAN, 其 中 Fa0/3 属于 VLAN 3, Fa0/4 
属于 VLAN5。4 台 PC 的 耳 地 址 如 下 。 


了 PC1: 192.168.1.11/24 PC2: 192.168.1.12/24 
PC3: 192.168.1.13/24 PC4: 192.168.1.14/24 
【问题 1】 


管理 员 发 现 交 换 机 Switch2 的 Fa0/1 端口 指示 灯 显 示 异 常 ， 但 用 show interface fa0/1 
命令 查看 该 端口 信息 如 下 ， 试 问 Fa0/1 端口 处 于 什么 状态 ? 为 什么 ? 
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Switch2 


Switch3 


PC3 


PC4 


图 6-5 某 企 业 局 域 网 拓扑 结构 


Switch#show int fa0/1 
EastEthernet0/1 is up, line protocol is up (connected) 
Hardware is Lance， address is 0030. f279. d401 (bia 0030. f279. d401) 
MTU 1500 bytes, BW 100000 kbit, DLY 1000 usec, 
reliability 255/255, txload 1/255, rxload 1/255 
Encapsulation ARPA, loopback not set 
Keepalive set (10 sac) 
Full-duplex, 100Mb/s 
input flow-control is off, output flow-control is off 
ARP type:ARPA, ARP Timeout 04:00:00 
Last input 00:00:08, output 00:00:05, output hang never 
Last clearing of "show interface" counters never 
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops:0 
Queueing strategy:fifo 
Output queue:0/40 (size/max) 
5 minute input rate 0 bits/sec, 0 packets/sec 
5 minute output rate 0 bits/sec, 0 packets/sec 


【问题 2】 

管理 员 发 现 当 关闭 交换 机 Switch2 的 Fa0/2 端口 时 ，Fa0/1 端口 指示 灯 过 一 段 时 间 后 
显示 正常 ， 请 问 这 是 什么 原因 ? Fa0/1 端口 经 过 了 哪些 状态 转换 ? 

【问题 3】 

交换 机 Switch2 和 Switch3 中 都 创建 了 VLAN， 但 管理 员 发 现 PC1 主机 可 以 PING 
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通 PC2 主机 ， 查 看 Switch2 中 VLAN 信息 如 下 所 示 ， 请 问 故障 原因 是 什么 ? 如 何 修改 
配置 ? 


Switch#show vlan 


VLAN name Status Ports 


1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 
Fa0/5, Fa0/6, Fa0/7, Fa0/8 
Fa0/9, Fa0/10, Fa0/11, Fa0/12 
Fa0/13, Fa0/14, Fa0/15, Fa0/16 
Fa0/17, Fa0/18, Fa0/19, Fa0/20 
Fa0/21, Fa0/22, Fa0/23, Fa0/24 
Gigl/1, Gigl/2 


3 student active 
5 teacher active 
1002 fddi-default active 
1003 token-ring-default active 
1004 fddinet-default active 
1005 trnet-default active 


VLAN Type SAID MTU Parent RingNoBridgeNostp BrdgMode TranslTrans2 


1 enet 100001 1500 - = 室 = 0 0 
3 enet 100003 1500 -— 宕 = 给 = 0 0 
5 enet 100005 1500 -— = = = = 0 0 


【问题 4】 

管理 员 发 现 同 属于 VLAN3 的 PC1 和 PC4 主机 , 以 及 同属 于 VLAN5 的 PC2 和 PC3 
主机 间 不 能 PING 通 ， 交 换 机 Switch2 中 的 VLAN 信息 和 Switch3 中 VLAN 信息 如 下 所 
示 ， 请 问 故 障 原因 是 什么 ? 如 何 修改 配置 ? 


Switch2#show vlan br 


VLAN Name Status Ports 


default active Fa0/1l, Fa0/5, Fa0/6, Fa0/7 
Fa0/8, Fa0/9, Fa0/10, Fa0/11 
Fa0/12, Fa0/13, Fa0/14, Fa0/15 
Fa0/16, Fa0/17, Fa0/18, Fa0/19 
Fa0/20, Fa0/21, Fa0/22, Fs0/23 
Fa0/24, Gigl/1, Gig1/2 
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3 student active Fa0/3 
5 teacher active Fa0/4 
Switch3#show vlan brief 


VLAN Name Status Ports 


1 default active Fa0/1, Fa0/2, Fa0/5, Fa0/6 
Fa0/7, Fa0/8, Fa0/9, Fa0/10 
Fa0/11, Fa0/12, Fa0/13, Fa0/14 
Fa0/15, Fa0/16, Fa0/17, Fa0/18 
Fa0/19, Fa0/20, Fa0/21, Fa0/22 
Fa0/23, Fa0/24, Gigl/1, Gig1/2 


3 student active Fa0/3 
本 teacher active Fa0/4 
【问题 5】 

管理 员 发 现 STP 协议 收敛 速度 比较 慢 ， 请 问 如 何 解决 ? 
1， 案 例 分 析 


迅速 定位 并 排除 网 络 故 障 是 网 络 规划 师 必 须 具 备 的 能 力 之 一 ， 本 案例 主要 是 考查 以 
下 知识 点 。 

(1) 生成 树 协议 。 生 成 树 (Spanning Tree) 协议 是 一 种 链 路 管理 协议 ， 它 为 网 络 提 
供 路 径 宛 余 ， 同 时 防止 产生 环 路 。 为 使 以 太 网 更 好 地 工作 ， 两 个 工作 站 之 间 只 能 有 一 条 
活动 路 径 。 网 络 环 路 的 产生 有 多 种 原因 ， 最 常见 的 一 种 是 链 路 或 设备 的 见 余 ， 为 了 防止 
出 现 一 条 链 路 或 一 台 交 换 机 的 单 点 失效 问题 ， 在 网 络 建设 时 往往 部 署 有 宛 余 的 链 路 和 交 
换 机 。 

生成 树 协议 允许 网 桥 之 间 相 互通 信和 以 发 现 网 络 物理 环 路 。 该 协议 定义 了 一 种 算法 ， 
网 桥 能 够 使 用 它 创 建 无 环 路 (Loop-Free) 的 逻辑 拓扑 结构 。 换 句 话说 ，STP 创建 了 一 个 
由 无 环 路 树叶 和 树枝 构成 的 树 结构 ， 其 跨越 了 整个 第 二 层 网 络 。 

生成 树 协议 操作 对 终端 站 透明 ， 也 就 是 说 ， 终 端 站 并 不 知道 它们 自己 是 否 连 接 在 单 
个 局 域 网 段 或 多 网 段 中 。 当 有 两 个 交换 机 同时 连接 相同 的 计算 机 网 段 时 ， 生 成 树 协议 可 
以 允许 两 台 交 换 机 之 间 相 互 交换 信息 ， 这 样 只 需要 其 中 一 个 交换 机 处 理 该 网 段 计算 机 之 
间 发 送 的 信息 。 

交换 机 之 间 通 过 桥接 协议 数据 单元 (Bridge Protocol Data Unit，BPDU) 交换 各 自 状 
态 信息 。 生 成 树 协议 通过 发 送 BPDU 信息 选 出 网 络 中 根 交换 机 和 根 节点 端口 ， 并 为 每 个 
网 段 选 出 根 节点 端口 和 指定 端口 。 

(2) 掌握 生成 树 协议 中 的 端口 状态 知识 。 交 换 机 上 的 端口 状态 分 别 为 关闭 、 阻 塞 、 
侦 听 、 学 习 和 转发 状态 。 

。 关闭 状态 : Disabled， 不 收发 任何 报 文 ， 当 接口 空 连接 或 人 为 关闭 时 处 于 关闭 
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。 阻塞 状态 : Blocking， 不 转发 用 户 数据 ， 当 交换 机 刚 启 动 时 或 出 现 元 余 链 路 时 ， 

端口 会 处 于 该 状态 。 需 要 强调 的 是 ， 端 口 在 Blocking 状态 时 接收 BPDU 信息 。 

。 侦 听 状 态 : Listening， 不 接收 用 户 数据 (15s)， 收 发 BPDU， 确 定 网 桥 及 接口 

角色 。 

。 学 习 状 态 : Leaming， 不 接收 用 户 数据 〈15s)， 收 发 BPDU， 进 行 地 址 学 习 。 

。 转发 状态 : Forwarding， 收 发 用 户 数据 ， 继 续 收 发 BPDU 和 地 址 学 习 ， 维 护 STP。 

(3) VLAN 工作 原理 及 配置 方法 。VLAN 也 称 为 虚拟 局 域 网 ， 是 指 在 交换 局 域 网 的 
基础 上 ， 构 建 的 可 跨越 不 同 网 段 、 不 同 网 络 的 端 到 端 逻 辑 网 络 。 一 个 VLAN 组 成 一 个 逻 
辑 子 网 ， 即 一 个 逻辑 广播 域 ， 它 可 以 覆盖 多 个 网 络 设备 ， 人 允许 处 于 不 同 地理 位 置 的 网 络 
用 户 加 入 到 一 个 逻辑 子 网 中 。 

(4) 交换 机 端口 模式 。 交 换 机 端口 有 两 种 模式 : Access 访问 模 式 ) 和 Trunk( 干 
线 模式 )。 一 般 情况 下 ， 处 于 访问 模式 的 接口 只 属于 一 个 VLAN， 默 认 情 况 下 ， 所 有 的 
端口 都 属于 VLAN 1。 访 问 模式 用 于 与 计算 机 相连 ， 当 需要 支持 跨 交 换 机 的 VLAN 时 ， 
一 般 在 交换 机 之 间 采 用 干线 模式 ， 干线 链 路 上 可 以 传输 多 个 VLAN 的 帧 。 

处 于 访问 模式 的 端口 收发 数据 时 ， 不 含 VLAN 标识 。 具 有 相同 VLAN 号 的 端口 在 
同一 个 广播 域 中 。 处 于 干线 模式 的 端口 收发 数据 时 , 包含 VLAN 标识 , 除了 Native VLAN 
之 外 。 

(5) 快速 生成 树 协 议 。 在 IEEE 802.1w 中 所 界定 的 快速 生成 树 协 议 (RSTP) 是 对 在 
IEEE 802.1d 中 所 界定 的 生成 树 协议 的 一 种 发 展 。 它 可 以 在 拓扑 发 生 改变 后 提供 更 快 的 
生成 树 集合 ， 并 且 能 够 向 局 域 网 或 桥接 网 络 提供 非 循 环 的 网 络 拓扑 。 标 准 的 STP 协议 一 
般 在 拓扑 结构 发 生变 化 的 30~50s 后 达到 稳定 状态 , 而 RSTP 协议 一 般 响 应 拓扑 变化 所 需 
的 时 间 是 1s。 

RSTP 可 以 明确 区 分 端口 状态 (是 转发 还 是 阻塞 流量 ) 和 端口 作用 〈 它 在 拓扑 结构 
中 是 否 扮演 了 有 效 的 角色 )。 除 了 对 根 端口 和 802.1d 中 遗留 的 指定 端口 进行 了 定义 之 外 ， 
还 说 明了 两 种 新 的 端口 状态 : 一 是 备份 端口 Backup, 它 提供 了 连接 某 局 域 网 网 段 的 备用 
路 径 ; 二 是 替代 端口 Altemate, 它 为 当前 根 端口 所 提供 的 连接 根 桥 路 径 提 供 了 替代 路 径 。 

2. 案例 参考 答案 

(1) 生成 树 协议 是 网 络 第 二 层 设 备 的 基础 协议 之 一 ， 它 通过 分 布 式 计算 使 得 网 络 活 
动 拓扑 为 树 型 结构 ， 从 而 有 效 地 防止 了 网 络 中 回路 的 出 现 ， 避 免 了 由 于 帧 的 无 限 循环 和 
重复 接收 所 导致 网 络 风暴 的 发 生 。 根 据 生成 树 协议 ， 交 换 机 Switch2 的 Fa0/1 端口 处 于 
Blocking 状态 。 可 以 用 show spanning-tree 命令 查看 STP 相关 信息 ， 如 图 6-6 所 示 。 

(2) 当 关 闭 Switch2 的 Fa0/2 端口 后 ， 交 换 机 通过 BPDU 学 习 到 这 一 端口 变化 ， 运 
行 生 成 树 算法 重新 计算 spanning-tree。 这 时 网 络 已 经 不 存在 见 余 路 径 ，Fa0/1 端口 应 变化 
为 Forwarding 状态 。 
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Switch2 


| Physical | Config | CLI 
IOS Command Line Interface 


Switch2# 
Switch2#show span 
switch2#show spanning-tree 


VLANO0001 
spanning tree enabled protocol ieee 
Root ID Priority 32769 
Address 000c.8579.0999 
Hello Time 2 sec Max Age 20 sec Forward De 
Bridge ID Priority 32769 (priority 32768 sys-id-ext 
Address 00D0.BCEB.0096 
aging Time 300 


Interface Role Sts Cost Prio.Nbr Type 


Altn BLK 19 
Root FWD 19 


图 6-6 查看 STP 相关 信息 


Fa0/1 端口 经 过 了 Blocking 一 Listening 一 Leaming 一 Forwarding 状态 转换 。 

(3) 从 显示 的 交换 机 VLAN 信息 可 以 看 出 ，Switch2 中 划分 了 VLAN 3 和 VLAN 5， 
但 PC1 连接 的 端口 Fa0/3 和 PC2 连接 的 端口 Fa0/4 都 还 是 属于 VLAN 1， 没 有 划分 到 相 
应 的 VLAN 中 。 因 此 ， 应 执行 以 下 配置 命令 : 


Switch2 (config-if)#int fa0/3 
Switch2 (config-if)#switchport access vlan 3 
Switch2 (config-if)#int fa0/4 
Switch2 (config-if)#switchport access vlan 4 


(4) 根据 前 面 的 分 析 ， 我们 知道 在 配置 跨 交 换 机 的 多 VLAN 网 络 时 ， 应 把 交换 机 之 
间 的 链 路 设置 为 干线 模式 。 从 显示 的 VLAN 信息 可 以 发 现 ，PC 所 连接 的 端口 都 已 划分 
到 相应 的 VLAN 中 。 关 键 原因 是 Switch2 和 Switch3 之 间 的 连接 端口 没有 配置 为 Trunk 
模式 。 因 此 ， 在 两 台 交 换 机 上 应 执行 以 下 配置 命令 : 


Switch (config-if)#int fa0/2 
Switch (config-if)#switchport mode trunk 
Switch (Config-if)#switchport trunk encapsulation dotlq 


(5) 针对 该 问题 ， 可 以 采用 快速 生成 树 协议 。 快 速生 成 树 和 生成 树 的 区 别 在 于 它 的 
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桥 协 议 数据 单元 的 传输 是 多 向 的 ， 而 且 在 特定 的 条 件 下 能 将 它 的 某 些 端口 快速 地 置 为 转 
发 状态 ， 从 而 能 在 几 秒 的 时 间 内 形成 稳定 的 活动 拓扑 。 快 速生 成 树 协 议定 义 了 9 个 状态 
机 ， 其 中 网 桥 状态 机 1 个 ， 端 口 状态 机 8 个 。 这 些 状态 机 相互 协作 ， 共 同 构成 了 快速 生 
成 树 协议 的 理论 基础 。 

RSTP 协议 针对 STP 收敛 速度 慢 的 问题 ， 对 STP 协议 做 了 一 些 改进 。RSTP 当 网 络 
拓扑 发 生变 化 时 , 不 像 STP 需要 经 过 30s 才能 从 Blocking 状态 转 为 Forwarding 状态 , 大 
大 提高 了 网 络 的 收敛 速度 。 
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7.1 大 纲 中 的 要 求 


《网 络 规划 设计 师 考试 大 岗 》 中 ， 要 求 考生 根据 试卷 上 给 出 的 若干 个 论文 题目 ， 选 
择 其 中 一 个 题目 ， 按 照 规定 的 要 求 撰写 论文 。 论 文 可 能 涉及 的 内 容 极其 广泛 ， 主 要 有 网 
络 技术 应 用 与 对 比分 析 、 网 络 技术 应 用 对 应 用 系统 建设 的 影响 、 专 用 网 络 设计 思路 、 下 
一 代 网 络 技术 分 析 等 主要 论题 方向 ， 这 几 个 方向 又 分 为 若干 个 子 内 容 。 


7.2 ”论文 考试 难 的 原因 及 其 对 策 


论文 写作 部 分 相对 于 其 他 部 分 来 说 要 难 些 。 因 为 论文 写作 是 对 应 考 者 综合 能 力 的 检 
而 应 考 者 往往 因为 以 下 这 些 原因 使 得 综合 能 力 比较 欠缺 。 

(1) 考试 范围 太 广 ， 许 多 知识 没有 接触 过 。 

(2) 技术 方面 掌握 不 扎实 ， 基 础 不 牢 。 

(3) 没有 从 事 过 网 络 规划 设计 。 

(4) 缺乏 网 络 规划 设计 项 目 实战 经 验 。 

(5) 长 期 从 事 某 一 个 方面 的 工作 ， 很 少 从 事 全 面 的 网 络 规 划 设 计 综 合 性 的 工作 。 
(6) 有 项 目 经 验 但 论文 写作 水 平 有 限 ， 无 法 准确 完整 地 表达 自己 的 观点 。 

(7) 对 考试 的 论文 写作 要 求 不 了 解 。 

对 于 这 些 问 题 ， 要 想 考 试 过 关 ， 需 要 注意 以 下 几 点 。 

(1) 要 尽量 以 充裕 的 时 间 来 应 考 。 

(2) 要 熟悉 考试 论文 的 写作 格式 及 注意 事项 。 

(3) 掌握 一 定 的 论文 写作 技巧 。 

(4) 需要 阅读 大 量 的 资料 来 充实 自己 。 

(5) 在 考试 之 前 作 适 当 的 练习 。 

当然 ， 如 果 读 者 网 络 规划 设计 方面 的 项 目 经 验 十 分 丰富 ， 可 以 把 重点 放 在 锻炼 写作 
技巧 上 来 。 


测 
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7.3 ”论文 的 格式 与 写作 技巧 


7.3.1 格式 要 求 


网 络 规划 设计 师 的 论文 不 同 于 在 学 术 杂 志 上 发 表 的 学 术 论 文 ， 也 不 同 于 学 校 的 毕业 
论文 ， 它 主要 是 对 网 络 规 划 设计 中 某 些 方面 的 技术 和 项 目 表达 自己 的 观点 、 思 路 和 解决 
策略 等 。 因 此 在 格式 上 的 要 求 也 比较 简单 。 

论文 书写 要 注意 以 下 的 要 求 。 

(1) 达到 篇 幅 要 求 。 

(2) 不 要 在 论文 中 出 现 过 多 的 图 表 ， 尽 量 用 文字 表述 。 

(3) 尽量 保持 卷 面 整洁 ， 如 果 确 实 需要 划 掉 文字 ， 在 字 上 划一 横 线 即 可 。 

(4) 不 必 写 关键 词 。 


7.3.2 ”写作 进度 把 握 


论文 的 写作 时 间 只 有 90 分 钟 ， 要 在 很 短 的 时 间 里 写 出 一 篇 高 质量 的 论文 确 属 不 易 ， 
需要 考生 有 较为 丰富 的 理论 和 实践 知识 的 积累 。 当 然 也 不 必 害 怕 ， 因 为 这 还 是 有 章 可 循 
的 。 这 里 建议 的 时 间 分 配 如 下 。 

(1) 通读 论题 ， 选 定论 题 (5 分 钟 )。 

(2) 构思 论文 ， 写 论文 提纲 〈10 分 钟 )。 

(3) 论文 写作 《〈65 分 钟 )。 

(4) 复查 论文 〈10 分 钟 )。 

下 面 按 写作 步骤 详细 解说 。 


7.3.3 ”论文 选 题 


论文 写作 前 ， 先 把 几 个 论文 试题 快速 通 览 。 为 了 照顾 大 多 数 考生 的 情况 ， 论 文 题目 
会 比较 宽泛 。 选 择 自己 最 容易 发 挥 ,最 擅长 的 方向 的 论题 。 论 文 题目 选 定 后 就 不 要 犹豫 ， 
中 途 换 题 会 浪费 很 多 时 间 。 


7.3.4 ”论文 提纲 


选 定论 题 后 不 要 急于 动笔 直接 在 答题 纸 上 写作 。 因 为 直接 写作 很 难 有 一 个 整体 的 思 
路 ， 而 且 在 写作 的 过 程 中 可 能 会 因 涂改 而 使 得 卷 面 不 整洁 ， 影 响 评 卷 人 的 心理 。 也 不 提 
倡 在 草稿 纸 上 书 写 论文 再 抄 至 论文 答题 纸 上 ， 因 为 考试 的 时 间 本 来 就 十 分 有 限 ， 抄 写 论 
文 也 需要 较 多 时 间 。 不 妨 先 花 点 时 间 理 理 写作 的 思路 ， 在 草稿 纸 上 写 出 论文 的 提纲 ， 所 
谓 “ 磨 刀 不 误 砍 柴 工 ”。 
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7.3.5 ”正文 写作 


有 了 提纲 ， 写 正文 就 轻松 多 了 。 正 文 可 采用 “总 一 分 一 总 ” 式 ， 即 文章 开头 提出 中 
心思 想 ， 再 分 述 论 点 ， 最 后 在 结尾 处 做 出 总 结 ; 也 可 用 “提出 问题 一 分 析 问 题 一 解决 问 
题 ”的 逐步 深入 的 方法 。 写 作 时 注意 以 下 几 个 方面 的 技巧 。 

(1) 看 清 题目 中 给 出 的 要 点 ， 抓 住 要 点 进行 论述 ， 内 容 要 切 题 ， 紧 紧 围绕 着 试题 指 
定 的 范围 写作 ， 不 要 离 题 发 挥 写 过 多 无 关 的 内 容 ， 不 要 给 人 以 拼凑 论文 的 感觉 。 

(2) 理论 联系 实际 ， 要 有 充实 的 具体 内 容 ， 切 鼠 空 谈 理论 。 

(3) 论点 要 正确 ， 合 乎 工程 实践 的 实际 情况 。 

(4) 要 注重 逻辑 性 和 条 理性 。 有 事实 作为 依据 ， 力 求 要 有 说 服 力 ， 条 理 清晰 ， 前 后 
呼应 ， 不 能 够 出 现 有 自 相 矛盾 的 情况 。 

(5) 要 突出 是 你 自己 亲身 经 历 完成 的 ， 语 气 要 自信 ， 要 有 自己 的 观点 与 见解 。 

(6) 遇 到 过 的 问题 和 解决 这 些 问 题 的 措施 或 策略 应 当 具 体 化 ， 是 很 现实 可 信 的 。 

(7) 采取 措施 的 效果 ， 要 求 比 较 突出 ， 切 实 可 行 。 

(8) 需要 进一步 改进 的 地 方 和 如 何 进行 改进 ， 要 求 写 得 比较 明确 ， 不 能 很 含糊 。 

(9) 论点 清晰 ， 最 好 每 段 在 开头 处 或 结尾 处 点 明 论点 。 

(10) 可 采用 分 条 叙述 的 方式 ， 但 不 要 全 文 用 此 方式 。 

(11) 不 必 列 举 过 多 的 计算 公式 。 

(12) 文章 要 带 有 一 定 的 学 术 性 。 


7.3.6 ”复查 论文 


复查 论文 主要 是 检查 论文 是 否 通顺 、 有 无 遗漏 、 有 无 错别字 。 注 意 以 下 几 点 。 
(1) 卷 面 要 保持 整洁 。 

(2) 格式 整齐 ， 字 迹 工整 。 

(3) 在 时 间 不 够 的 情况 下 力求 写 完 论文 ， 切 忌 有 头 无 尾 。 


7.4 论文 范文 


[题目 ]: 论 信息 系统 建设 的 网 络 规划 

网 络 规划 在 信息 系统 建设 中 占有 重要 地 位 ， 一 方面 要 满足 信息 系统 的 应 用 需求 ， 另 
一 方面 受到 信息 系统 覆盖 的 地 理 空间 范围 、 资 金 和 其 他 资源 约束 ， 既 要 满足 当前 信息 系 
统 的 需要 ， 又 要 满足 未 来 发 展 的 需要 ， 即 网 络 规划 方案 不 仅 要 有 实用 性 , 还 要 有 扩展 性 。 

请 围绕 “信息 系统 建设 的 网 络 规划 ”论题 ， 依 次 从 以 下 三 个 方面 进行 论述 。 

1. 概要 叙述 你 参与 分 析 设 计 的 信息 系统 的 应 用 需求 以 及 你 在 其 中 所 担任 的 主要 
工作 。 
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2. 深入 论述 你 参与 设计 的 信息 系统 网 络 规划 主要 涉及 哪些 方面 , 这 些 方面 是 如 何 满 
足 信息 系统 应 用 需求 并 且 具 有 实用 性 和 扩展 性 的 ? 

3. 简要 叙述 你 参与 的 信息 系统 的 网 络 规划 方案 中 ， 除 了 实用 性 和 扩展 性 外 ,方案 中 
还 有 哪些 特性 需要 考虑 ? 

[范文 ] 

我 一 直 在 某 IT 公司 从 事 技术 规 划 和 项 目 实施 工作 , 去 年 作为 项 目 经 理 组 织 实施 了 某 
市 远程 医学 教育 网 络 系统 平台 的 建设 。 

该 项 目 是 建立 某 市 远程 医学 教育 网 络 系统 平台 ， 以 现 有 的 国际 互联 网 为 基础 ， 综 合 
运用 卫星 网 络 以 及 虚拟 专 网 ， 以 市 医科 大 学 第 一 附属 医院 为 中 心 ， 向 东 依 托 沿海 发 达 城 
市 的 医疗 资源 ， 向 西 覆盖 全 市 14 个 市 级 医院 。 初步 构架 市 远程 医学 三 级 网 络 系统 ， 即 沿 
海 发 达 城 市 远程 医学 中 心 一 市 远程 医学 中 心 一 各 市 级 医院 。 通 过 构建 这 个 平台 使 各 市 级 
医院 不 仅 共享 本 地 的 医学 资源 优势 ， 同 时 共享 到 沿海 发 达 城 市 医院 的 医疗 资源 。 通 过 远 
程 医学 教育 、 远程 医疗 咨询 (现场 诊断 咨询 )、 手 术 观 摩 、 虚 拟 手术 等 多 种 现代 教育 手段 ， 
实现 真正 意义 的 医学 资源 的 联动 ， 造 就 市 高 素质 的 专业 医学 人 才 。 我 作为 项 目 负责 人 参 
与 了 整个 项 目的 应 用 需求 分 析 、 具 体 技术 方案 设计 及 部 分 子 系统 模块 的 研发 。 

为 进行 信息 系统 建设 的 网 络 规划 , 首先 需要 对 系统 的 网 络 通信 需求 进行 详细 的 分 析 。 

(1) 地 面 网 络 

市 远程 医学 教育 网 络 主要 使 用 单位 包括 市 远程 医学 中 心 、 各 市 级 医院 医疗 机 构 ) 
以 及 其 他 医疗 机 构 及 医疗 网 点 ， 各 市 级 医院 〈 医 疗 机 构 ) 与 市 指挥 中 心 具备 地 面 宽带 通 
信条 件 。 平 时 以 远程 医学 教学 、 远 程 医疗 咨询 的 应 用 为 主 ， 地 面 网 络 具 有 成 本 优势 。 但 
是 地 面 有 线 链 路 节点 众多 ， 结 构 复 杂 意 味 着 可 能 发 生 故 障 的 环节 增多 ， 对 技术 维护 和 支 
持 的 要 求 增高 。 因 此 很 难 在 大 范围 内 对 各 个 网 络 层次 可 能 的 故障 点 上 提供 及 时 有 效 的 故 
障 响应 。 其 他 基于 地 面 的 无 线 链 路 多 半 也 存在 中 转 站 的 维护 问题 ， 所 以 采用 卫星 网 络 作 
为 备份 。 

(2) 卫星 网 络 

一 般 认为 地 面 线路 带宽 较 高 ， 大 数据 量 信息 传送 的 速度 可 能 较 快 ， 但 不 能 忽略 的 是 
由 许多 线路 段 连接 而 成 的 长 途 地 面 通信 信道 速率 是 由 这 些 线路 段 中 速率 最 低 者 所 决定 的 
(瓶颈 效应 )， 而 卫星 通信 系统 不 存在 这 个 问题 。 

市 医疗 基层 单位 大 多 分 散在 没有 地 面 宽带 条 件 的 地 区 ， 因 此 可 以 利用 卫星 通信 距离 
远 ， 且 不 受 地 面条 件 限制 的 优势 ， 为 各 基层 医院 建立 双向 卫星 地 面 站 ， 通 过 设立 在 上 海 
的 MCU 交换 后 与 市 的 MCU 进行 级 联 。 

市 远程 医学 教育 网 采用 的 是 亚洲 四 号 卫星 Ku 波段 卫星 数字 广播 。 与 以 往 的 C 波段 
卫星 模拟 广播 相 比 ， 使 用 较 高 频率 的 Ku 波段 及 先进 的 数字 压缩 技术 具有 明显 的 优势 。 

(3) 虚拟 专 网 

虚拟 专用 网 是 以 公用 网 络 Internet 为 基础 ， 结 合 隧道 封装 、 认 证 、 加 密 、 访 问 控制 
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等 多 种 网 络 安全 技术 , 为 企业 总 部 和 分 支 机 构 及 移动 办 公 人 员 提 供 安全 网 络 连通 的 技术 。 
VPN 的 主要 目标 是 建立 一 种 低 投入 、 方 便 快 捷 的 网 络 互 连 方式 ， 蔡 代 传统 专线 连接 和 拨 
号 连接 。 本 系统 的 三 维 医学 影像 网 络 系统 构建 在 远程 医学 教育 网 络 信息 平台 上 ， 采 用 的 
是 虚拟 专 网 。 

在 分 析 系 统 网 络 通信 需求 的 基础 上 ， 市 远程 医学 教育 网 络 信息 平台 设计 为 :以 地 面 
宽带 加 卫星 通信 方式 为 主要 通信 手段 ， 以 流 媒体 技术 、 医 学 影像 技术 、 医 学 信息 交互 传 
输 技术 于 一 体 ; 以 强化 远程 医学 教育 功能 、 规 范 远程 医学 教育 流程 为 主要 的 设计 理念 ; 
以 Web 化 为 核心 的 技术 路 线 作 为 本 系统 平台 的 总 体 解决 方案 。 

对 于 有 宽带 的 用 户 ， 采 用 : 双向 卫星 地 面 小 站 + 地 面 宽 带 : 开展 远程 医疗 咨询 时 ， 
以 地 面 宽带 网 络 为 主 ， 以 双向 卫星 作 备 份 。 接 收 远程 教育 时 ， 通 过 卫星 接收 节目 ， 通 过 
地 面 宽带 或 卫星 备份 进行 回 传 。 单 向 卫星 地 面 小 站 + 地 面 宽 带 : 利用 单 向 卫星 广播 优势 
的 特点 ， 来 接收 远程 教育 系统 的 教学 节目 ， 以 地 面 网 络 作为 回 传 线路 ， 进 行 双向 交互 的 
远程 培训 。 

对 于 无 宽带 的 用 户 ， 采 用 双向 卫星 地 面 小 站 。 对 只 需要 开展 远程 教育 的 ， 并 且 不 需 
要 进行 交互 的 ， 采 用 单 向 卫星 小 站 。 

以 市 远程 中 心 MCU 服务 器 为 管理 和 控制 的 核心 ， 采 用 双向 通信 和 链 路 ， 与 沿海 发 达 
城市 的 医学 中 心 (上海 等 ) 联网 ， 再 通过 沿海 远程 医学 中 心 与 省 内 各 医院 联网 ， 如 上 海 
远程 医学 中 心 管理 的 华山 医院 、 中 山 医院 、 瑞 金 医院 等 ， 北 京 的 医学 中 心 管理 的 北 医 三 
院 、 协 和 医院 等 。 

可 见 ， 信 息 系 统 建设 的 网 络 规划 必须 具备 以 下 两 点 。 

(1) 信息 系统 建设 的 网 络 规划 必须 充分 保证 信息 系统 的 功能 实现 。 该 系统 是 基于 计 
算 机 地 面 网 络 技术 、 卫星 网 络 技术 和 多 媒体 通信 技术 , 建立 基于 分 布 开放 式 的 应 用 系统 。 
整个 系统 平台 由 6 大 子 系统 构成 ， 即 远程 医学 咨询 系统 、 手 术 直 播 观 摩 系 统 、 远 程 医学 
教育 系统 、 远 程 虚拟 手术 实验 系统 、 视 频 会 议 系 统 和 远程 电子 图 书馆 。 网 络 规划 必须 为 
系统 6 大 功能 子 系统 的 实现 提供 网 络 平台 保证 。 

(2) 信息 系统 建设 的 网 络 规划 必须 充分 支撑 信息 系统 关键 技术 的 实施 。 本 系统 主要 
包括 卫 组 播 技术 、 计 算 机 集群 技术 、 中 间 件 技术 、 虚 拟 现实 技术 等 关键 技术 。 每 个 关键 
技术 都 离 不 开 网 络 平台 的 支撑 , 网 络 规划 必须 为 这 些 关 键 技术 的 实施 提供 网 络 平台 保证 。 


缩 写 词 


AD，Analogue/Digital， 模 / 数 变换 

ABR，Area Border Router， 区 域 边 界 路 由 器 

ADSL，Asymmetric Digital Subscriber Line， 非 对 称 DSL 

AF，Assured Forwarding， 确 保 转发 

AM，Amplitude Modulation， 调 幅 

AN，Access Network， 接 入 网 

ARQ，Automatic Repeat reQuest， 检 错 重 发 

AS，Autonomous System， 自 治 区 域 

ASK，Amplitude Shift Keying， 幅 移 键 控 

ASN.1，Abstract Syntax Notation one， 抽 象 语 法 标记 

AIM，Asynchronous Transfer Mode， 异 步 传输 模式 

B8ZS，Bipolar with 8-zeros Substitution， 双 极 性 8 零 蔡 换 码 

BB，Bandwidth Broker， 带 宽 代理 

BBE，Better than Best-Effort service， 优 于 尽力 而 为 服务 

BDT，Bureau of Development of Telecommunication， 电 信 发 展 局 

BE，Best Effort， 尽 力 而 为 

BER，Basic Encoding Rule， 基 本 编码 规则 

BES，Best Effort Service， 尽 力 而 为 服务 型 

BGAN，Broadband Global Area Network， 宽 带 全 球 网 络 

BGP，Border Gateway Protocol， 边 界 网 关 协 议 

B-ISDN，Broadband ISDN， 宽 带 ISDN 

BRI，Basic Rate Interface， 基 本 速率 接口 

CA，Certificate Authority， 证 书 授权 中 心 

CCIR，Consultative Committee of International Radio， 国 际 无 线 电 咨询 委员 会 

CCITT，Consultative Committee on Intemational Telegraph and Telephone， 国 际 电报 
电话 咨询 委员 会 

CD，Committee Draft， 委 员 会 草案 

CDDI，Copper Distributed Data Interface， 铜 线 分 布 数据 接口 

CDMA，Code Division Multiplex Access， 码 分 多 址 

CE，Custom Edge Router， 用 户 边 界 路 由 器 
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CLS，Control Load Service， 受 控 负 载 服务 型 

CM，Cable Modem， 电 缆 调制 解 调 器 

COPS，Common Open Policy Service， 公 共 开 放 策 略 服务 
CRC，Cyclic Redundancy Check， 循 环 元 余 校 验 
CRL，Certificate Revocation Lists， 证 书 废除 列表 

DDN，Digital Data Network， 数 字数 据 网 络 

DIS，Draft Intemational Standard， 国 际 标准 草案 

DP，Draft Proposal， 建 议 草案 

DRR，Deficit Round-Robin， 气 空 轮 循 

DRSVP，Dynamic Resource Reservation Protocol， 动 态 资源 预 留 协议 
DS，Differentiated Service， 区 分 服务 

DS，Direct Sequencing， 直 接 序列 扩 频 

DSCP，Differentiated Service Code Point， 区 分 服务 码 点 
DSL，Digital Subscriber Lines， 数 字 用 户 线 路 

EF，Expedited Forwarding， 加 速 转发 

EFD，Expedited Forwarding with Dropping， 人 允许 丢失 的 加 速 转发 
EFS，Encrypting File System， 加 密 文件 系统 

EGP，External Gateway Protocol， 外 部 网 关 协 议 

EPD，Early Packet Discard， 早 期 分 组 丢弃 


ETSI，European Telecommunication Standards Institute， 欧 洲 电信 标准 协会 


FDDI，Fiber Distributed Data Interface， 光 纤 分 布 数据 接口 
FDM，Frequency-Division Multiplexing， 频 分 多 路 复 用 
FEC，Forwarding Equivalence Class， 转 发 等 价 类 
FH，Frequency Hopping， 跳 频 

FM，Frequency Modulation， 调 频 

FR，Frame Relay， 帧 中 继 

FSK，Frequency Shift Keying， 频 移 键 控 

GLBP，Gateway Load Balancing Protocol， 网 关 负 载 均衡 协议 
GPRS，General Packet Radio Service， 通用 分 组 无 线 业 务 
GQA，Global QoS Agent， 全 局 服务 质量 代理 

GS，Guaranteed Service， 保 证 服务 型 

GSM，Global System for Mobile Communication， 全 球 移动 通信 系统 
HDB3，High-Density Bipolar-3 zeros， 三 阶 高 密度 双 极 性 码 
HDLC，High Level Data Link Control， 高 级 数据 链 路 控制 协议 
HFC，Hybrid Fiber/Coax， 混 合 光纤 / 铜 缆 


缩写 词 859 


HSRP，Hot Standby Router Protocol， 热 备份 路 由 器 协议 
HTTPS，HTTP Over TLS， 基 于 TLS 的 HITP 协议 
IETF，the Intemet Engineering Task Force， 因 特 网 工程 任务 组 
IFRB，Intemational Frequency Registration Board， 国 际 频率 登记 委员 会 
IGP，Interior Gateway Protocol， 内 部 网 关 协 议 

IS，Integrated Service， 综 合 服务 

IS，Intermational Standard， 国 际 标准 

ISDN，Integrated Service Digital Network， 综合 业务 数字 网 
ISO，International Standardization Organization， 国 际 标准 化 组 织 
ITU，Intemational Telecommunication Union， 国 际 电 信 联 盟 
LBE，Lower than Best Effort， 准 尽力 而 为 

LC，Lexical Conventions， 文 字 约 定 

LDP，Label Distribution Protocol， 标 记分 配 协议 

LQA，Local QoS Agent， 归 属 服务 质量 代理 

LSP，Label Switched Path， 标 记 交 换 路 径 

LSR，Label Switching Router， 标 记 交 换 路 由 器 
MIB，Management Information Base， 管 理 信息 库 
MPLS，Multiprotocol Label Switching， 多 协议 标签 交换 
MRSVP，Resource Reservation Protocol with Mobile Hosts， 移 动 资 源 预 留 协议 
MSTP，Multi-service Transport Platform， 多 业务 传送 平台 
MTBF，Mean Time Between Failure， 平 均 无 故障 时 间 
NBNS，NetBIOS Name Server，NetBIOS 名 字 服 务 器 
NIC，Network Information Center， 网 络 信息 中 心 
N-ISDN，Narrow ISDN， 罕 带 ISDN 

NMF，Network Management Forum， 网 络 管理 论坛 
NMS，Network Management System， 网 络 管理 系统 
NOC，Network Operation Center， 网 络 运行 中 心 

ODP，Open Distributed Processing， 开 放 分 布 式 处 理 
OSPF，Open Shortest Path First， 最 短路 径 优先 协议 
P2P，Point-to-Point， 点 对 点 /对 等 网 

PE，Provider Edge Router， 运 营 商 边界 路 由 器 
PDH，Plesiochronous Digital Hierarchy， 准 同步 数字 系列 
PHB，PerHop-Behavior， 逐 跳 行为 

PHB-I，Interoperability PHB group， 协 同 PHB 组 

PKI，Public Key Infrastructure， 公 钥 基 础 设施 
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PM，Phase Modulation， 调 相 

POE，Power over Ethemet， 以 太 网 供电 

PON，Passive Optical Networkk， 无 源 光 网 络 

PPD，Partial Packet Discard， 部 分 分 组 丢弃 

PPS，Packets Per Second， 数 据 包 每 秒 

PRI，Primary Rate Interface， 基 群 速率 接口 

PSK，Phase Shift Keying， 相 移 键 控 

PSTN，Public Switch Telephone Network， 公 用 交换 电话 网 
PVC，Permanent Virtual Circuit， 永 久 虚 连接 
QAM，Quadrature Amplitude Modulation， 正 交 振 幅 调制 


QAMP，Quantitative Assured Media Playback service， 定 量 确保 的 多 媒体 播放 服务 


QoS，Qnuality of Service， 服 务 质量 

RA，Registration Authority， 注 册 机 构 

RED，Random Early Discard， 随 机 早期 丢弃 
RFC，Request For Comments， 请 求 注解 

RMON，Remote network MONitoring， 远 程 网 络 监视 
RMS，Resource Management System， 资 源 管理 系统 
RS，Radicommunication Sector， 无 线 电 通 信和 部 门 
RSTP，Rapid Spanning-Tree Protocol， 快 速生 成 树 协议 
RSVP，Resource ReSerVation Protocol， 资 源 预 留 协议 
RTT，Round-Trip Time， 往 返 时 延 

SBM，Subnet Bandwidth Management， 子 网 带宽 管理 
SCFQ，Self Clocked Fair Queuing， 自 时 钟 公平 排队 
SDH，Synchronous Digital Hierarchy， 光 同步 数字 传输 网 
SET，Secure Electronic Transaction， 安 全 电子 交易 
SLA，Service Level Agreement， 服 务 等 级 协议 
SLS，Service Level Specification， 服 务 等 级 规范 
SMI，Structure of Management Information， 管 理 信息 结构 
SNMP，Simple Network Management Protocol， 简 单 网 络 管理 协议 
SONET，Synchronous Optical Network， 同 步 光纤 网 
SSL，Security Socket Layer， 安 全 套 接 层 协 议 
STDM，Statistic Time-Division Multiplexing， 统 计时 分 多 路 复 用 
STP，Shielded Twisted Pair， 屏 项 双 绞 线 
STP，Spanning-Tree Protocol， 生 成 树 协议 
SVC，Switched Virtual Circuit， 交 换 虚 连接 
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TC，Technical Committee， 技 术 委 员 会 

TCA，Traffic Conditioning Agreement， 流 量 调节 协议 

TCS，Traffic Conditioning Specification， 流 量 调节 规范 

TDM，Time-Division Multiplexing， 时 分 多 路 复 用 

TDS，Telecommunication Development Sector， 电 信 发 展 部 门 

TD-SCDMA，Time Division-Synchronous Code Division Multiple Access， 时 分 同步 
的 码 分 多 址 

TH，Time Hopping， 跳 时 

TLS，Transport Layer Security Protocol， 安 全 传输 层 协 议 

TMS，Transport Management System， 传 输 管理 系统 

TOM，Telecom Operations Map， 电 信 运 营 图 

TPDU，Transport Protocol Data Unit， 传 输 协议 数据 单元 

TPH，Transactions Per Hour， 事 务 处 理 数 每 小 时 

TPS，Transactions Per Second， 事 务 处 理 数 每 秒 

TR，Technical Report， 技 术 报 告 

TRIB，Throughput Rate of Information Byte， 信 息 比 特 吞 吐 率 

TSAP，Transport Service Access Point， 传 输 服 务 访问 点 

TSS，Telecommunication Standardization Sector， 电 信 标 准 化 部 门 

UTP，Unshielded Twisted Pair， 非 屏蔽 双 绞 线 

VC，Virtual Circuit， 虚 电路 

VLAN，Virtual Local Area Network， 虚 拟 局 域 网 

VPN，Virtual Private Network， 虚 拟 专用 网 

VRRP，Virtual Router Redundancy Protocol， 虚 拟 路 由 器 元 余 协 议 

VSAT，Very Small Aperture Terminal， 甚 小 口径 卫星 终端 站 

WAN，Wide Area Network， 广 域 网 

WBM，Web-Based Management， 基 于 Web 的 网 络 管理 

WDM，Wavelength-Division Multiplexing， 波 分 多 路 复 用 

WFQ，Weighted Fair Queuing， 加 权 公 平 排队 

Wi-Fi，Wireless Fidelity， 无 线 保 真 

WiMAX，Worldwide Interoperability for Microwave Access， 微 波 接 入 互 操作 性 

WLAN，Wireless Local Area Network， 无 线 局 域 网 

WRR，Weighted Round-Robin， 权 重 轮 询 
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